Plataforma
wordpress
Componente
javo-core
Corrigido em
3.0.1
A vulnerabilidade CVE-2025-0177 afeta o plugin Javo Core para WordPress, permitindo a escalada de privilégios. Atacantes não autenticados podem explorar essa falha para obter acesso administrativo, comprometendo a segurança do site. As versões afetadas são de 0 até 3.0.0.080. A correção envolve a atualização para uma versão corrigida do plugin.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado crie uma conta com o papel de administrador no WordPress. Isso concede ao atacante controle total sobre o site, incluindo a capacidade de modificar conteúdo, instalar plugins maliciosos, acessar dados confidenciais e até mesmo comprometer outros sistemas na rede. O impacto é severo, pois a conta de administrador é a mais privilegiada no WordPress, e sua comprometer pode levar à perda total de controle sobre o site e seus dados. A ausência de autenticação necessária para definir o papel de usuário torna a exploração relativamente simples, aumentando o risco de ataques em massa.
O CVE-2025-0177 foi publicado em 08 de março de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA no momento da publicação. A facilidade de exploração, devido à falta de autenticação, sugere que a vulnerabilidade pode ser alvo de ataques automatizados.
WordPress websites using the Javo Core plugin, particularly those with default or weak security configurations, are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
wp plugin list | grep javo-core• wordpress / composer / npm:
wp plugin update javo-core --all• wordpress / composer / npm:
wp plugin status javo-core• wordpress / composer / npm:
wp user list --field=role• wordpress / composer / npm:
wp user search --role=administratordisclosure
Status do Exploit
EPSS
0.73% (percentil 73%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-0177 é atualizar o plugin Javo Core para a versão corrigida mais recente, assim que estiver disponível. Enquanto isso, como medida temporária, considere restringir a capacidade de novos usuários definirem seu próprio papel. Isso pode ser feito através de plugins de segurança do WordPress que controlam o processo de registro de usuários. Monitore os logs do WordPress em busca de tentativas de criação de contas com privilégios elevados. Implementar autenticação de dois fatores (2FA) para todas as contas de administrador pode ajudar a mitigar o impacto caso uma conta seja comprometida.
Atualize o plugin Javo Core para uma versão corrigida. A vulnerabilidade permite que usuários não autenticados atribuam papéis de administrador, portanto, é crucial aplicar a atualização para mitigar o risco de escalada de privilégios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-0177 is a critical vulnerability in the Javo Core WordPress plugin that allows unauthenticated attackers to gain administrator privileges by creating new user accounts, granting them full control over the website.
If you are using Javo Core plugin versions 0 through 3.0.0.080, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Javo Core plugin. Until a patch is released, disable user registration or implement a WAF to block suspicious account creation attempts.
While active exploitation is not yet confirmed, the vulnerability's critical severity and ease of exploitation suggest it is likely to be targeted soon. Monitor security advisories and threat intelligence feeds.
Refer to the Javo Core plugin's official website or WordPress plugin repository for the latest security advisory and patch information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.