Uma desafiadora Publicou UM Alerta Sobre Uma Vulnerabilidade Crítica Nenhum forminador de plug-in para WordPress, Que Pode Permitir Que Invasores Assumam o Controle de Mais de 400 mil Sites. A Falha, identificada como CVE-2025-6463, RECEU PONTUAÇÃO CVSS DE 8,8 E FOI CORRIGIDA NA VERSÃO 1.44.3, Lançada em 30 de Juno.
Leia Tamboma
Eua Esperam três mesas de ciberataques do Irã
Fragilidade do Bluetooth Licesite Invasão e Espionagem
Segundo a Empresa, um Vulnerabilidade Está Ligada à Ausênncia de Vallação No Caminho de Arquivos Dentro da Função que exclui Arquivos Enviados via Formulário. ESSA falha permite que atacantes não autenticados Especifiquem arquivos arbitrárrios a serem apagados durante a exclusão de um formulário – inclluindo arquivos críticos como o o wp-config.phpO que Colocaria o Site Em Modo de Instalação e Abriria Caminho Para Sua Tomada.
Um desafiador explicica que o Problema decorre de duas Falhas Combinadas: um função que salva os Campos no Banco de Dadas Não Sanitiza Corretamento os Valores Enviades, ea Função que exclui os arquivos ignora válvulas de Tipo de Campo, Extensão e Localização do ARQUIVO. ISSO Permite Que Qualquer Campo de Enviio Aceite E exclua Arquivos do Sistema.
Embora o Ataque Exija Que A Exclusão do Formulário ocorra (manual ou automático), uma empresa alerta que esse cenário é comum, especialmente em casos de spam, tornondo o risco alto. O ProblemA Foi Reportado via Programa Wordfence Bug Bounty, EO Pesquisador Respovel Recebeu Uma Recompensa de US $ 8,100.
Mais de 400 mil locais seguem vulneráveis, de acordo com os dadas do wordpress, que indicam menos de 200 mil Atualizações Administradores Devastando o forminador para o forminador para um versão corrigida, um FIM de Evitar Possíveis explorações.
