Um alerta de segurança crítico foi emitido para administradores de sites Wordpress após a descoberta de duas vulnerabilidades de alta gravidade no plugin “WP Ultimate CSV Importer”.

Com mais de 20 mil instalações ativas, as falhas no plugin representam um risco significativo para os sites afetados, podendo levar ao controle completo do site pelos invasores.

Com mais de 20.000 instalações ativas, as falhas do plugin representam um risco significativo para os sites afetados, podendo levar à tomada completa do site por invasores.

Exploits de upload e exclusão de arquivos

As vulnerabilidades, catalogadas como CVE-2025-2008 e CVE-2025-2007, foram divulgadas de forma ética em março de 2025 pelo pesquisador de segurança “mikemyers” através do Wordfence Bug Bounty Program:

CVE-2025-2008: Upload de arquivo arbitrário

A funcionalidade de importação do plugin não tinha possuía uma validação adequada do tipo de arquivo, permitindo que invasores autenticados com acesso de nível de assistente ou superior, carregassem arquivos de forma arbitrária, incluindo scripts PHP (e tem gente falando que o PHP morreu) maliciosos. O código carregado poderia então ser executado para se obter controle remoto do servidor onde o site estaria hospedado.

CVE-2025-2007: Exclusão arbitrária de arquivo

Um erro na função de exclusão de arquivo do plugin permitiu que invasores excluíssem qualquer arquivo no servidor, como o arquivo crítico wp-config.php. A exclusão deste arquivo força o site a retornar a um estado de configuração do zero, potencialmente permitindo que invasores redirecionem o site para um banco de dados sob seu controle para exploração posterior.

Ambas as vulnerabilidades receberam altas pontuações CVSS, de 8.8 e 8.1, respectivamente, refletindo o sério risco que representam.

Correção das vulnerabilidades

Após a notificação das vulnerabilidades em 5 de março deste ano, a criadora do plugin, a Smackcoders, agiu prontamente. Após uma colaboração com o time do Wordfence, uma versão corrigida (7.19.1) foi lançada em 25 de março deste ano.

Usuários do Wordfence com plugins de segurança ativos, estão protegidos desde a divulgação das vulnerabilidades, mas atualizações gerais continuam sendo essenciais.

Usuários e administradores precisam atualizar o plugin para a versão corrigida

Todos os usuários do plugin WP Ultimate CSV Importer devem atualizar imediatamente para a versão 7.19.1 ou superior.

Os administradores devem garantir que seus sites não estão executando versões vulneráveis, pois essas explorações podem levar a resultados sérios, desde violações de dados até a invasão dos sites.

A descoberta dessas e outras vulnerabilidades destaca a necessidade contínua de vigilância na manutenção da segurança de sites WordPress. Não basta apenas colocar um site em operação e não se preocupar com a segurança dele.

Dica do Canal Hacker

Empresas que possuem sites funcionando sob o WordPress precisam saber o que está “rolando debaixo do capô”. Muitas instalações são mantidas por empresas de marketing e desenvolvimento de sites, onde muitas delas, acabam não se preocupando com a segurança dos sites desenvolvidos, em manter os plugins atualizados sempre, etc. Sendo o caso, converse com a sua agência para que o melhor seja feito.

De qualquer forma, caso a empresa em que trabalha ou uma agência, seja a responsável direta por manter a estrutura do site, pense então na segurança. Mas também não saia atualizando plugin “à torto e à direita”. Converse com os desenvolvedores do seu site e explique a necessidade de atualizar o plugin, para que seja validado a necessidade de recodificação da aplicação, de forma que se adeque à nova versão do plugin.

Sendo a sua empresa ou uma agência, responsável por manter a estrutura e desenvolvimento site, é a imagem da empresa que está em jogo. Realize varreduras recorrentes para saber se está vulnerável ou não.

O que achou do post?

Créditos:

https://gbhackers.com/20000-wordpress-sites-at-risk/