CVE-2026-3425: Inclusão de Arquivo Local em RTMKit para Elementor
Plataforma
wordpress
Componente
rometheme-for-elementor
Corrigido em
2.0.3
A vulnerabilidade CVE-2026-3425 afeta o plugin RTMKit Addons para Elementor em WordPress, permitindo a inclusão de arquivos locais (LFI). Um atacante autenticado com privilégios de Autor ou superior pode explorar essa falha para incluir e executar arquivos PHP arbitrários no servidor, comprometendo a segurança da aplicação. As versões afetadas são aquelas anteriores ou iguais a 2.0.2; a correção foi implementada na versão 2.0.3, publicada em 2026-05-12.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite a um atacante autenticado executar código PHP arbitrário no servidor WordPress. Isso pode levar a uma série de consequências graves, incluindo a obtenção de acesso não autorizado a dados sensíveis armazenados no servidor, como informações de usuários, credenciais de banco de dados e arquivos de configuração. Além disso, o atacante pode modificar arquivos existentes, inserir código malicioso e até mesmo assumir o controle total do servidor. A capacidade de executar código arbitrário significa que o impacto pode se estender além do próprio servidor WordPress, potencialmente afetando outros sistemas na rede, especialmente se o servidor WordPress tiver acesso a outros recursos. A ausência de validação adequada do parâmetro 'path' na ação AJAX 'get_content' é a raiz do problema, abrindo uma porta para a inclusão de arquivos controlados pelo atacante.
Contexto de Exploração
A vulnerabilidade CVE-2026-3425 foi publicada em 2026-05-12. Ainda não há informações disponíveis sobre sua exploração ativa em campanhas direcionadas. A existência de um CVSS score de 8.8 (ALTO) indica uma alta probabilidade de exploração, especialmente se um Proof of Concept (PoC) público se tornar disponível. É recomendável monitorar fontes de inteligência de ameaças e listas de discussão de segurança para obter atualizações sobre a exploração desta vulnerabilidade.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2026-3425 é a atualização imediata do plugin RTMKit Addons para Elementor para a versão 2.0.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de mitigação temporárias. Uma possível solução é restringir o acesso à ação AJAX 'get_content' apenas a usuários confiáveis, implementando controles de acesso mais rigorosos. Além disso, a configuração de um Web Application Firewall (WAF) com regras para bloquear solicitações que contenham caminhos de arquivo suspeitos pode ajudar a prevenir a exploração. Monitore os logs do servidor WordPress em busca de tentativas de acesso não autorizado ou inclusão de arquivos suspeitos.
Como corrigir
Atualize para a versão 2.0.3, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2026-3425 — Inclusão de Arquivo Local em RTMKit para Elementor?
CVE-2026-3425 é uma vulnerabilidade de Inclusão de Arquivo Local (LFI) no plugin RTMKit para WordPress, permitindo a execução de código PHP arbitrário por atacantes autenticados.
Estou afetado por CVE-2026-3425 em RTMKit para Elementor?
Sim, se você estiver usando o plugin RTMKit Addons para Elementor em versões anteriores ou iguais a 2.0.2, você está afetado por esta vulnerabilidade.
Como corrigir CVE-2026-3425 em RTMKit para Elementor?
A correção é atualizar o plugin RTMKit Addons para Elementor para a versão 2.0.3 ou superior. Se a atualização não for possível, aplique medidas de mitigação temporárias.
CVE-2026-3425 está sendo ativamente explorado?
Embora não haja relatos confirmados de exploração ativa, a alta pontuação CVSS indica uma alta probabilidade de exploração futura.
Onde posso encontrar o aviso oficial do RTMKit para CVE-2026-3425?
Consulte o site do desenvolvedor do plugin RTMKit ou o repositório oficial do WordPress para obter o aviso oficial e as instruções de atualização.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...