CVE-2025-0865

Nome do Software Vulnerável e Versões Afetadas Plugin WP Media Category Management, versões 2.0 a 2.3.3

Descrição O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce ausente ou incorreta na função wp mcm handle action settings(). Isso permite que atacantes não autenticados alterem as configurações do plugin, como a taxonomia usada para mídia, o slug base para categorias de mídia e a categoria de mídia padrão, induzindo um administrador do site a realizar uma ação, como clicar em um link.

Recomendações Para as versões 2.0 a 2.3.3 do plugin WP Media Category Management, considere desabilitar a função wp mcm handle action settings() até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso às configurações do plugin para minimizar o risco de alterações não autorizadas. Evite utilizar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.