CVE-2025-62880: CSRF em Custom 404 Pro WordPress
Plataforma
wordpress
Componente
custom-404-pro
Corrigido em
3.12.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin Custom 404 Pro para WordPress. Essa falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a integridade do site. As versões afetadas são da 0.0.0 até a 3.12.0. A correção foi disponibilizada na versão 3.12.1.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A vulnerabilidade CSRF no Custom 404 Pro permite que um atacante, através de um site malicioso ou e-mail, induza um usuário autenticado a executar ações indesejadas no site WordPress onde o plugin está instalado. Isso pode incluir a modificação de configurações do plugin, a criação de novas páginas 404 personalizadas ou até mesmo a exclusão de conteúdo existente. O impacto é amplificado se o usuário possuir privilégios de administrador, pois o atacante poderá obter controle total sobre o site. A exploração bem-sucedida pode levar à defacement do site, roubo de dados sensíveis ou até mesmo à instalação de malware.
Contexto de Exploração
A vulnerabilidade foi divulgada em 2025-12-22. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração.
Quem Está em Riscotraduzindo…
WordPress websites utilizing the Custom 404 Pro plugin, particularly those running older versions (0.0.0–3.12.0), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with administrator accounts that are frequently used or have weak passwords are particularly vulnerable.
Passos de Detecçãotraduzindo…
• wordpress / composer / npm:
grep -r 'Custom 404 Pro' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Custom 404 Pro'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=custom_404_pro_save_settings&setting_name=some_setting&setting_value=some_value | grep HTTP/1.1Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Informações do pacote
- Avaliação do plugin
- 4.2
- Requer WordPress
- 3.0.1+
- Compatível até
- 6.9.4
- Requer PHP
- 7.4+
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para esta vulnerabilidade é atualizar o plugin Custom 404 Pro para a versão 3.12.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a utilização de um Web Application Firewall (WAF) com regras CSRF ativadas. Além disso, revise as configurações do plugin para garantir que as permissões de acesso estejam adequadamente restritas. Monitore os logs do WordPress em busca de atividades suspeitas, como requisições inesperadas ou modificações não autorizadas.
Como corrigir
Atualize para a versão 3.12.1 ou uma versão corrigida mais recente
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2025-62880 — CSRF em Custom 404 Pro WordPress?
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que permite a atacantes executarem ações não autorizadas em sites WordPress que utilizam o plugin Custom 404 Pro nas versões 0.0.0 até 3.12.0.
Estou afetado pelo CVE-2025-62880 em Custom 404 Pro WordPress?
Sim, se você estiver utilizando o plugin Custom 404 Pro nas versões 0.0.0 até 3.12.0, você está vulnerável a ataques CSRF.
Como corrigir o CVE-2025-62880 em Custom 404 Pro WordPress?
Atualize o plugin Custom 404 Pro para a versão 3.12.1 ou superior. Considere também implementar um WAF com regras CSRF.
O CVE-2025-62880 está sendo ativamente explorado?
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade permanece um risco.
Onde posso encontrar o advisory oficial do Custom 404 Pro para o CVE-2025-62880?
Consulte o site do desenvolvedor do plugin ou o repositório do WordPress para obter informações e atualizações sobre a vulnerabilidade.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.