Escanear grátis
Análise pendenteCVE-2025-9987

CVE-2025-9987: Information Disclosure in Broadstreet WordPress Plugin

Plataforma

wordpress

Componente

broadstreet

Corrigido em

1.53.2

Ver no NVD
Salvar

A vulnerabilidade CVE-2025-9987 afeta o plugin Broadstreet para WordPress, permitindo a divulgação de informações sensíveis. Através da ação AJAX getsponsoredmeta(), um atacante autenticado com acesso de nível de assinante ou superior pode extrair dados confidenciais. As versões afetadas são de 1.0.0 até 1.53.1. A correção foi disponibilizada na versão 1.53.2.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataque

Um atacante explorando esta vulnerabilidade pode obter acesso a informações confidenciais armazenadas no plugin Broadstreet. Isso inclui detalhes de negócios protegidos por senha e informações privadas, potencialmente revelando dados estratégicos ou sensíveis da empresa. A exploração bem-sucedida pode levar a comprometimento da confidencialidade e, em cenários mais complexos, pode ser combinada com outras vulnerabilidades para obter acesso mais amplo ao sistema WordPress. A ausência de autenticação robusta na função getsponsoredmeta() é o principal fator que permite a exploração.

Contexto de Exploração

A vulnerabilidade CVE-2025-9987 foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, dada a necessidade de acesso autenticado ao WordPress. Não há relatos públicos de campanhas de exploração ativa no momento. A vulnerabilidade está listada no NVD (National Vulnerability Database).

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Reports1 threat report

CISA SSVC

Exploitationnone
Automatableyes
Technical Impactpartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Nenhum — sem impacto na integridade.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentebroadstreet
Fornecedorwordfence
Versão mínima1.0.0
Versão máxima1.53.1
Corrigido em1.53.2

Classificação de Fraqueza (CWE)

CWE-200

Linha do tempo

  1. Reserved
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2025-9987 é a atualização imediata do plugin Broadstreet para a versão 1.53.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente a funcionalidade getsponsoredmeta() através de modificações no código do plugin (com cautela e backup prévio). Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações maliciosas à ação AJAX getsponsoredmeta() pode fornecer uma camada adicional de proteção. Após a atualização, verifique se a funcionalidade do plugin está operando corretamente e se os dados sensíveis permanecem protegidos.

Como corrigir

Atualize para a versão 1.53.2, ou uma versão corrigida mais recente

Perguntas frequentes

O que é CVE-2025-9987 — Divulgação de Informações no plugin Broadstreet?

CVE-2025-9987 é uma vulnerabilidade que permite a um atacante autenticado extrair dados confidenciais do plugin Broadstreet para WordPress, afetando versões de 1.0.0 a 1.53.1, através da função getsponsoredmeta().

Estou afetado pelo CVE-2025-9987 no plugin Broadstreet?

Se você estiver utilizando o plugin Broadstreet para WordPress nas versões de 1.0.0 a 1.53.1, você está potencialmente afetado por esta vulnerabilidade. Verifique a versão do seu plugin imediatamente.

Como corrigir CVE-2025-9987 no plugin Broadstreet?

A correção é atualizar o plugin Broadstreet para a versão 1.53.2 ou superior. Se a atualização imediata não for possível, considere desativar temporariamente a função getsponsoredmeta().

CVE-2025-9987 está sendo ativamente explorado?

Atualmente, não há relatos públicos de campanhas de exploração ativa, mas a vulnerabilidade é considerada de risco médio e deve ser corrigida o mais rápido possível.

Onde posso encontrar o advisory oficial do plugin Broadstreet para CVE-2025-9987?

Consulte o site oficial do plugin Broadstreet ou o repositório de plugins do WordPress para obter o advisory oficial e as instruções de atualização.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis
ao vivoverificação gratuita

Escaneie seu projeto WordPress agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...