XStore | Tema WooCommerce Multiuso <= 9.5.4 - Inclusão de Arquivo Local Autenticado (Assinante+)
Plataforma
wordpress
Componente
xstore
Corrigido em
9.5.5
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no tema XStore para WordPress, afetando versões de 0.0.0 até 9.5.4. Essa falha permite que atacantes autenticados, com permissões de Subscriber ou superiores, incluam e executem arquivos .php arbitrários no servidor. A exploração bem-sucedida pode levar à execução de código malicioso, comprometendo a confidencialidade, integridade e disponibilidade do sistema WordPress.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A vulnerabilidade LFI no XStore permite que um atacante autenticado, com acesso de Subscriber ou superior, inclua e execute arquivos PHP arbitrários no servidor. Isso significa que um atacante pode, por exemplo, carregar um arquivo PHP malicioso, incluí-lo através da função etajaxrequiredpluginspopup() e executá-lo, obtendo controle sobre o servidor. O impacto potencial é significativo, incluindo a exfiltração de dados sensíveis armazenados no servidor WordPress, a modificação de arquivos do sistema, a instalação de backdoors e, em última análise, o controle total do servidor. A possibilidade de execução de código arbitrário torna esta vulnerabilidade particularmente perigosa, similar a outras explorações de LFI que levaram a comprometimento total de servidores web.
Contexto de Exploração
A vulnerabilidade CVE-2025-11746 foi divulgada em 15 de outubro de 2025. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA até o momento. A probabilidade de exploração é considerada média, devido à necessidade de autenticação e ao conhecimento técnico necessário para explorar a vulnerabilidade. Embora não haja publicações de Proof-of-Concept (PoC) amplamente divulgadas, a natureza da vulnerabilidade LFI a torna um alvo potencial para exploração por atacantes com conhecimento em WordPress.
Quem Está em Riscotraduzindo…
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
Passos de Detecçãotraduzindo…
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.15% (percentil 36%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para a vulnerabilidade CVE-2025-11746 é atualizar o tema XStore para a versão 9.5.5 ou superior, que corrige a falha de Inclusão de Arquivo Local. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função etajaxrequiredpluginspopup() através de um Web Application Firewall (WAF) ou proxy reverso, bloqueando requisições suspeitas. Além disso, revise as permissões de arquivos e diretórios no servidor WordPress para garantir que apenas os usuários necessários tenham acesso de escrita. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como tentativas de inclusão de arquivos não autorizados. Após a atualização, confirme a correção verificando se a função etajaxrequiredpluginspopup() não permite mais a inclusão de arquivos arbitrários.
Como corrigirtraduzindo…
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2025-11746 — LFI in XStore WordPress Theme?
CVE-2025-11746 is a Local File Inclusion vulnerability in the XStore WordPress theme, allowing authenticated attackers to execute arbitrary PHP code.
Am I affected by CVE-2025-11746 in XStore WordPress Theme?
You are affected if you are using XStore WordPress theme versions 0.0.0 through 9.5.4.
How do I fix CVE-2025-11746 in XStore WordPress Theme?
Upgrade the XStore WordPress theme to version 9.5.5 or later. Consider WAF rules and file upload restrictions as temporary mitigations.
Is CVE-2025-11746 being actively exploited?
While no widespread exploitation has been confirmed, the vulnerability's nature suggests potential for exploitation, and monitoring is advised.
Where can I find the official XStore advisory for CVE-2025-11746?
Refer to the XStore theme developer's website or WordPress plugin repository for the official advisory and update information.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.