Plataforma
wordpress
Componente
mamurjor-employee-info
Corrigido em
1.0.1
O plugin Mamurjor Employee Info para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF). Essa falha permite que atacantes não autenticados executem ações administrativas, como criar, atualizar ou excluir informações de funcionários, departamentos e salários, através de requisições forjadas. A vulnerabilidade afeta as versões 1.0.0 a 1.0.0 do plugin. A correção envolve a atualização para uma versão corrigida do plugin.
Um atacante pode explorar essa vulnerabilidade induzindo um administrador do WordPress a clicar em um link malicioso ou visitar uma página comprometida. Ao fazer isso, o atacante pode executar ações administrativas em nome do administrador, sem o seu conhecimento ou consentimento. Isso pode levar à criação de registros de funcionários falsos, modificação de informações existentes ou exclusão de dados críticos. O impacto potencial inclui a corrupção de dados, comprometimento da integridade do sistema e possível roubo de informações confidenciais, dependendo do tipo de dados armazenados no plugin. A ausência de validação adequada de nonce torna o plugin suscetível a ataques XSRF, permitindo que um atacante manipule as requisições do lado do servidor.
A vulnerabilidade foi divulgada em 2026-01-07. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como KEV. A ausência de um Proof of Concept (PoC) público dificulta a avaliação da probabilidade de exploração, mas a natureza da vulnerabilidade XSRF a torna potencialmente explorável.
WordPress sites utilizing the Mamurjor Employee Info plugin, particularly those managing sensitive employee data or with limited security controls, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'admin.php' /var/www/html/wp-content/plugins/mamurjor-employee-info/• wordpress / composer / npm:
wp plugin list --status=inactive | grep mamurjor-employee-info• wordpress / composer / npm:
wp plugin list | grep mamurjor-employee-infodisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Mamurjor Employee Info para a versão corrigida, assim que estiver disponível. Enquanto a atualização não estiver disponível, considere implementar medidas de proteção adicionais. Uma possível medida é restringir o acesso às funções administrativas do plugin, limitando o número de usuários com permissões elevadas. Além disso, implementar um Web Application Firewall (WAF) com regras para detectar e bloquear requisições XSRF pode ajudar a mitigar o risco. Monitore os logs do WordPress em busca de atividades suspeitas, como requisições não autorizadas para as funções administrativas do plugin.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13990 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin Mamurjor Employee Info para WordPress, permitindo que atacantes executem ações administrativas sem autorização.
Se você utiliza o plugin Mamurjor Employee Info nas versões 1.0.0 a 1.0.0, você está potencialmente afetado. Verifique se há atualizações disponíveis.
A correção recomendada é atualizar o plugin Mamurjor Employee Info para a versão mais recente, assim que estiver disponível. Implemente medidas de proteção adicionais enquanto aguarda a atualização.
Não há informações disponíveis sobre exploração ativa da vulnerabilidade no momento, mas a natureza do XSRF a torna potencialmente explorável.
Verifique o site oficial do Mamurjor Employee Info ou o repositório do plugin no WordPress.org para obter informações sobre a vulnerabilidade e a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.