Plataforma
wordpress
Componente
wp-foodbakery
Corrigido em
4.7.1
A vulnerabilidade CVE-2025-0180 afeta o plugin WP Foodbakery para WordPress, permitindo a escalada de privilégios. Devido à falta de restrições adequadas na atualização de metadados de usuário durante o registro, um atacante não autenticado pode se registrar como administrador, obtendo controle total sobre o site. Essa falha afeta versões do plugin de 0.0.0 até 4.7. A correção está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado contorne as medidas de segurança do WordPress e se registre como um administrador. Isso concede ao atacante acesso irrestrito a todos os dados e funcionalidades do site, incluindo a capacidade de modificar conteúdo, instalar malware, criar novos usuários com privilégios administrativos e até mesmo comprometer outros sistemas conectados. O impacto é severo, pois a integridade e a confidencialidade do site e dos dados dos usuários estão em risco. A ausência de autenticação necessária para a elevação de privilégios torna a exploração relativamente simples, aumentando o risco de ataques em massa.
A vulnerabilidade foi divulgada em 11 de fevereiro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE no KEV da CISA. A existência de um proof-of-concept público é desconhecida no momento, mas a facilidade de exploração sugere que a probabilidade de exploração é alta.
Websites using the WP Foodbakery plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where plugin updates are not managed by the website owner are also especially vulnerable. Sites relying on WP Foodbakery for critical functionality or storing sensitive user data face the highest potential impact.
• wordpress / composer / npm:
grep -r 'update_user_meta' /var/www/html/wp-content/plugins/wp-foodbakery/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-foodbakery• wordpress / composer / npm:
wp plugin update wp-foodbakery --alldisclosure
Status do Exploit
EPSS
0.43% (percentil 62%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-0180 é atualizar o plugin WP Foodbakery para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin ou restringir o acesso ao registro de novos usuários. Implementar um sistema de autenticação de dois fatores (2FA) para todos os administradores pode ajudar a reduzir o impacto de uma possível exploração. Monitore os logs do WordPress em busca de atividades suspeitas, como tentativas de registro de usuários com privilégios elevados.
Atualize o plugin WP Foodbakery para a última versão disponível para mitigar a vulnerabilidade de escalada de privilégios. Certifique-se de realizar um backup completo do seu site antes de atualizar qualquer plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-0180 is a critical vulnerability in the WP Foodbakery WordPress plugin allowing unauthenticated users to register as administrators. It impacts versions 0.0.0–4.7 due to improper user meta restrictions.
If you are using WP Foodbakery version 0.0.0 through 4.7, you are affected by this vulnerability. Check your plugin version immediately.
Upgrade the WP Foodbakery plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting user registration.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a potential target for attackers. Continuous monitoring is advised.
Refer to the WP Foodbakery plugin's official website or WordPress plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.