CVE-2025-14868

Name of the Vulnerable Software and Affected Versions Career Section plugin for WordPress versões anteriores a 1.7

Description O plugin é suscetível a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana um usuário autenticado para executar ações indesejadas. Este problema leva ao Path Traversal e à Exclusão Arbitrária de Arquivos devido à ausência de validação de nonce e validação insuficiente do caminho do arquivo na função appform options page html(). Atacantes não autenticados podem excluir arquivos arbitrários no servidor induzindo um administrador do site a clicar em um link forjado.

Recommendations Atualize o plugin para uma versão posterior a 1.6. Como medida paliativa temporária, restrinja o acesso à função appform options page html() para minimizar o risco de exploração.