Plataforma
wordpress
Componente
clearfy
Corrigido em
2.5.4
A vulnerabilidade CVE-2025-13749 afeta o plugin Clearfy Cache para WordPress, especificamente suas funcionalidades de otimização de cache, minificação de HTML, CSS e JS, e deferimento. Esta falha de Cross-Site Request Forgery (CSRF) permite que atacantes não autenticados desabilitem as notificações de atualização do plugin, potencialmente comprometendo a segurança do site. As versões afetadas são as que variam de 0.0.0 até a versão 2.4.0, sendo corrigida na versão 2.4.1.
Um atacante pode explorar esta vulnerabilidade CSRF para desabilitar as notificações de atualização do plugin Clearfy Cache. Embora a desabilitação das notificações em si não conceda acesso direto ao sistema, impede que os administradores do site sejam alertados sobre atualizações de segurança importantes. Isso pode levar a uma janela de oportunidade para outros ataques explorarem vulnerabilidades não corrigidas no plugin, aumentando o risco de comprometimento do site WordPress. A exploração bem-sucedida requer que o atacante consiga enganar um administrador para que clique em um link malicioso, o que pode ser feito através de phishing ou outras técnicas de engenharia social.
A vulnerabilidade foi divulgada em 2026-01-09. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof of Concepts (PoCs) públicos. A avaliação de risco é considerada média devido à natureza da vulnerabilidade CSRF e à necessidade de interação do usuário para exploração.
WordPress websites using the Clearfy Cache plugin, particularly those running versions 0.0.0 through 2.4.0, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromised website could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'wbcr_upm_change_flag' /var/www/html/wp-content/plugins/clearfy-cache/• wordpress / composer / npm:
wp plugin list --status=all | grep clearfy-cache• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/clearfy-cache/readme.txt | grep Versiondisclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-13749 é atualizar o plugin Clearfy Cache para a versão 2.4.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção adicionais, como a restrição do acesso administrativo a usuários confiáveis e a implementação de políticas de segurança robustas. Além disso, a utilização de um Web Application Firewall (WAF) pode ajudar a bloquear solicitações CSRF maliciosas. Verifique se o WAF possui regras para proteger contra CSRF em plugins WordPress.
Atualize para a versão 2.4.1, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13749 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Clearfy Cache para WordPress, permitindo que atacantes desabilitem as notificações de atualização.
Sim, se você estiver usando o plugin Clearfy Cache em versões de 0.0.0 a 2.4.0, você está afetado por esta vulnerabilidade.
Atualize o plugin Clearfy Cache para a versão 2.4.1 ou superior para corrigir a vulnerabilidade.
Atualmente, não há informações disponíveis sobre exploração ativa desta vulnerabilidade, mas a mitigação é recomendada.
Consulte o site oficial do Clearfy Cache ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.