Plataforma
wordpress
Componente
clasifico-listing
Corrigido em
2.1
A vulnerabilidade CVE-2025-12882 afeta o plugin Clasifico Listing para WordPress, permitindo a escalada de privilégios. Atacantes podem se registrar com o papel de administrador, obtendo acesso não autorizado. As versões afetadas são 1.0.0 até 2.0. A correção está disponível na versão 2.1.
Esta vulnerabilidade permite que um atacante não autenticado registre uma nova conta no plugin Clasifico Listing e, durante o processo de registro, defina seu próprio papel como administrador. Isso concede ao atacante acesso total ao sistema, incluindo a capacidade de criar, modificar ou excluir listagens, gerenciar usuários e potencialmente comprometer todo o site WordPress. A ausência de autenticação necessária para definir o papel de usuário torna a exploração trivial e o impacto significativo, especialmente em sites que dependem do Clasifico Listing para funcionalidades críticas. A exploração bem-sucedida pode levar à perda de dados, interrupção do serviço e comprometimento da reputação.
A vulnerabilidade foi divulgada em 2026-02-19. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A simplicidade da exploração sugere que pode ser explorada por atacantes com diferentes níveis de habilidade. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é direta.
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Clasifico Listing para a versão 2.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desativar temporariamente o plugin Clasifico Listing para impedir novos registros de usuários. Como medida adicional, revise cuidadosamente todas as contas de usuário existentes em busca de contas suspeitas com privilégios de administrador que não deveriam ter. Implementar autenticação de dois fatores (2FA) para todas as contas de administrador pode ajudar a mitigar o impacto de uma conta comprometida.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-12882 is a critical vulnerability in the Clasifico Listing WordPress plugin allowing unauthenticated attackers to gain administrator privileges during user registration by manipulating the 'listinguserrole' parameter. This grants them full control of the website.
You are affected if your WordPress site uses the Clasifico Listing plugin in versions 1.0.0 through 2.0. Check your plugin versions immediately and upgrade if necessary.
Upgrade the Clasifico Listing plugin to version 2.1 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting user role assignment during registration.
While there are no confirmed reports of active exploitation at this time, the high CVSS score and ease of exploitation suggest a medium to high probability of exploitation in the near future.
Refer to the Clasifico Listing plugin's official website or WordPress plugin repository for the latest security advisory and update information related to CVE-2025-12882.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.