CVE-2025-9988: Acesso Não Autorizado em Broadstreet WordPress
Plataforma
wordpress
Componente
broadstreet
Corrigido em
1.53.2
A vulnerabilidade CVE-2025-9988 afeta o plugin Broadstreet para WordPress, permitindo acesso não autorizado. Devido à falta de uma verificação de capacidade adequada na ação AJAX create_advertiser, usuários autenticados com permissões de Subscriber ou superiores podem criar contas de anunciantes sem a devida autorização. Essa falha afeta todas as versões do plugin até, e incluindo, 1.53.1. A correção está disponível na versão 1.53.2.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado, com nível de acesso Subscriber ou superior, crie contas de anunciantes sem a devida autorização. Isso pode levar a um cenário onde um atacante pode criar contas de anunciantes maliciosas, potencialmente injetando conteúdo indesejado ou realizando outras ações abusivas dentro do sistema. O impacto direto é a criação de contas não autorizadas, mas o potencial para uso indevido dessas contas pode ser significativo, dependendo da funcionalidade e dos privilégios associados às contas de anunciantes no contexto do plugin Broadstreet. A ausência de controles adequados pode facilitar a disseminação de spam ou a realização de outras atividades fraudulentas.
Contexto de Exploração
A vulnerabilidade CVE-2025-9988 foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, dada a necessidade de autenticação para explorar a vulnerabilidade. Não há evidências públicas de campanhas ativas explorando esta vulnerabilidade no momento da publicação. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) da CISA. A ausência de um exploit público não elimina o risco, pois a facilidade de exploração pode atrair a atenção de atacantes.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reserved
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2025-9988 é a atualização imediata do plugin Broadstreet para a versão 1.53.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade ou outros conflitos, considere restringir o acesso à ação createadvertiser através de um plugin de segurança ou firewall de aplicação web (WAF). Implemente regras no WAF para bloquear solicitações à ação createadvertiser que não venham de usuários com as permissões apropriadas (por exemplo, administradores). Verifique a configuração do plugin Broadstreet para garantir que as permissões de usuário estejam configuradas corretamente e que apenas usuários autorizados possam criar anunciantes. Após a atualização, confirme a correção verificando se usuários com permissões de Subscriber não conseguem criar anunciantes.
Como corrigir
Atualize para a versão 1.53.2, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2025-9988 — Acesso Não Autorizado em Broadstreet WordPress?
CVE-2025-9988 é uma vulnerabilidade de acesso não autorizado no plugin Broadstreet para WordPress, permitindo que usuários autenticados com permissões de Subscriber criem anunciantes sem autorização.
Estou afetado pelo CVE-2025-9988 em Broadstreet WordPress?
Se você estiver usando o plugin Broadstreet para WordPress em versões 0–1.53.1, você está afetado por esta vulnerabilidade.
Como corrigir o CVE-2025-9988 em Broadstreet WordPress?
Atualize o plugin Broadstreet para a versão 1.53.2 ou superior para corrigir a vulnerabilidade. Se a atualização não for possível, implemente um WAF para restringir o acesso à ação create_advertiser.
O CVE-2025-9988 está sendo ativamente explorado?
Até o momento, não há evidências públicas de campanhas ativas explorando esta vulnerabilidade, mas o risco permanece devido à facilidade de exploração.
Onde posso encontrar o advisory oficial do Broadstreet para o CVE-2025-9988?
Consulte o site oficial do Broadstreet ou o repositório do plugin no WordPress.org para obter o advisory oficial e as informações de correção.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...