CVE-2025-1282

Nome do Software Vulnerável e Versões Afetadas Tema WordPress Car Dealer Automotive, versões até e incluindo a 1.6.3

Descrição A vulnerabilidade permite que atacantes autenticados com acesso de nível de Assinante ou superior excluam arquivos arbitrários no servidor devido à validação insuficiente do caminho do arquivo nas funções delete post photo() e add car(). Isso pode levar à execução remota de código quando arquivos críticos, como wp-config.php, são excluídos. Adicionalmente, a função add car() pode permitir a leitura de arquivos arbitrários.

Recomendações Para versões até e incluindo a 1.6.3, atualize para uma versão que inclua uma correção para a validação insuficiente do caminho do arquivo nas funções delete post photo() e add car(). Como medida de contorno temporária, considere restringir o acesso a essas funções para evitar a exclusão arbitrária de arquivos e a potencial execução remota de código.