Plataforma
wordpress
Componente
xstore
Corrigido em
9.5.5
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no tema XStore para WordPress, afetando versões de 0.0.0 até 9.5.4. Essa falha permite que atacantes autenticados, com permissões de Subscriber ou superiores, incluam e executem arquivos .php arbitrários no servidor. A exploração bem-sucedida pode levar à execução de código malicioso, comprometendo a confidencialidade, integridade e disponibilidade do sistema WordPress.
A vulnerabilidade LFI no XStore permite que um atacante autenticado, com acesso de Subscriber ou superior, inclua e execute arquivos PHP arbitrários no servidor. Isso significa que um atacante pode, por exemplo, carregar um arquivo PHP malicioso, incluí-lo através da função etajaxrequiredpluginspopup() e executá-lo, obtendo controle sobre o servidor. O impacto potencial é significativo, incluindo a exfiltração de dados sensíveis armazenados no servidor WordPress, a modificação de arquivos do sistema, a instalação de backdoors e, em última análise, o controle total do servidor. A possibilidade de execução de código arbitrário torna esta vulnerabilidade particularmente perigosa, similar a outras explorações de LFI que levaram a comprometimento total de servidores web.
A vulnerabilidade CVE-2025-11746 foi divulgada em 15 de outubro de 2025. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA até o momento. A probabilidade de exploração é considerada média, devido à necessidade de autenticação e ao conhecimento técnico necessário para explorar a vulnerabilidade. Embora não haja publicações de Proof-of-Concept (PoC) amplamente divulgadas, a natureza da vulnerabilidade LFI a torna um alvo potencial para exploração por atacantes com conhecimento em WordPress.
Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.
• wordpress / composer / npm:
grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/• wordpress / composer / npm:
wp plugin list | grep xstore• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name '*.php' -type fdisclosure
Status do Exploit
EPSS
0.15% (percentil 36%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-11746 é atualizar o tema XStore para a versão 9.5.5 ou superior, que corrige a falha de Inclusão de Arquivo Local. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso à função etajaxrequiredpluginspopup() através de um Web Application Firewall (WAF) ou proxy reverso, bloqueando requisições suspeitas. Além disso, revise as permissões de arquivos e diretórios no servidor WordPress para garantir que apenas os usuários necessários tenham acesso de escrita. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como tentativas de inclusão de arquivos não autorizados. Após a atualização, confirme a correção verificando se a função etajaxrequiredpluginspopup() não permite mais a inclusão de arquivos arbitrários.
Actualice el tema XStore a la versión 9.5.5 o superior para mitigar la vulnerabilidad de inclusión de archivos locales. Verifique la fuente de los archivos incluidos para evitar la ejecución de código malicioso. Implemente controles de acceso más estrictos para limitar el acceso a funciones sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-11746 is a Local File Inclusion vulnerability in the XStore WordPress theme, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using XStore WordPress theme versions 0.0.0 through 9.5.4.
Upgrade the XStore WordPress theme to version 9.5.5 or later. Consider WAF rules and file upload restrictions as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability's nature suggests potential for exploitation, and monitoring is advised.
Refer to the XStore theme developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.