Plataforma
wordpress
Componente
wp-freeio
Corrigido em
1.2.22
A vulnerabilidade CVE-2025-11533 afeta o plugin WP Freeio para WordPress, permitindo a escalada de privilégios. Um atacante não autenticado pode explorar essa falha para obter acesso de administrador ao site, comprometendo a segurança e a integridade dos dados. As versões afetadas incluem de 0.0.0 até 1.2.21. A correção está disponível em versões posteriores do plugin.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso irrestrito ao site WordPress. Isso significa que o atacante pode modificar conteúdo, instalar malware, roubar dados confidenciais de usuários e até mesmo assumir o controle total do servidor. A ausência de restrições na função process_register() permite que um atacante se registre como administrador, contornando os mecanismos de autenticação e autorização padrão do WordPress. O impacto é severo, pois compromete a confidencialidade, integridade e disponibilidade do site e dos dados armazenados.
A vulnerabilidade foi divulgada em 2025-10-11. Não há informações disponíveis sobre exploração ativa em campanhas. Não está listado no KEV da CISA. A existência de um ponto de entrada não autenticado para a função de administrador torna a exploração relativamente simples, e a ausência de mitigação padrão no plugin aumenta o risco.
Websites using the WP Freeio plugin, particularly those running older, unpatched versions (0.0.0–1.2.21), are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
grep -r 'process_register' /var/www/html/wp-content/plugins/wp-freeio/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-freeio• wordpress / composer / npm:
wp plugin auto-update --all• generic web:
Check WordPress logs (typically in /var/log/apache2/error.log or similar) for suspicious registration attempts with the 'administrator' role.
• generic web:
Monitor for unusual user registration activity in the WordPress admin panel.
disclosure
Status do Exploit
EPSS
0.18% (percentil 40%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP Freeio para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin para impedir novas tentativas de exploração. Implementar regras de firewall (WAF) para bloquear solicitações de registro suspeitas, especialmente aquelas que tentam definir a função do usuário como 'administrador' durante o registro. Monitore os logs do WordPress em busca de tentativas de registro incomuns ou atividades suspeitas.
Atualize o plugin WP Freeio para uma versão corrigida. O desenvolvedor lançou uma atualização para solucionar esta vulnerabilidade. Consulte a página de detalhes do CVE para obter mais informações sobre a versão corrigida.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-11533 is a critical vulnerability in the WP Freeio WordPress plugin allowing unauthenticated attackers to gain administrator access by exploiting a flaw in user registration.
If you are using WP Freeio version 0.0.0 through 1.2.21, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the WP Freeio plugin to the latest available version as soon as a patch is released. Temporarily disable the plugin as a short-term workaround.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of exploitation. Monitor security advisories.
Check the WP Freeio plugin's official website and WordPress plugin repository for updates and security advisories related to CVE-2025-11533.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.