Plataforma
wordpress
Componente
wp-db-booster
Corrigido em
1.0.2
A vulnerabilidade CVE-2025-14168 afeta o plugin WP DB Booster para WordPress, permitindo ataques de Cross-Site Request Forgery (CSRF). Essa falha ocorre devido à falta de validação de nonce na ação AJAX 'cleanup_all', possibilitando que atacantes não autenticados manipulem o banco de dados. As versões afetadas são 1.0.0 até 1.0.1. A correção oficial está disponível e a aplicação é recomendada.
Um atacante pode explorar essa vulnerabilidade CSRF para executar ações não autorizadas em nome de um administrador do site WordPress. Ao criar uma requisição forjada e induzir um administrador a clicar em um link malicioso, o atacante pode deletar dados críticos do banco de dados, incluindo rascunhos de posts, revisões, comentários e metadados. Isso pode levar à perda de conteúdo, interrupção do serviço e, potencialmente, comprometer a integridade do site. A ausência de validação de nonce facilita a exploração, tornando a vulnerabilidade relativamente simples de ser aproveitada.
A vulnerabilidade foi divulgada em 2025-12-20. Não há informações sobre exploração ativa em campanhas. A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco imediato, mas a natureza da vulnerabilidade CSRF a torna potencialmente explorável. A inclusão em catálogos como o KEV (CISA KEV) ainda não foi confirmada.
WordPress sites utilizing the WP DB Booster plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources could also be affected, as an attacker could potentially exploit the vulnerability on one site to impact others.
• wordpress / composer / npm:
grep -r 'cleanup_all' /var/www/html/wp-content/plugins/wp-db-booster/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'wp-db-booster'• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=cleanup_all' | grep '200 OK'disclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP DB Booster para a versão corrigida, assim que disponível. Enquanto a atualização não for possível, implemente medidas de segurança adicionais, como a utilização de um plugin de segurança WordPress que ofereça proteção CSRF. Considere também restringir o acesso à administração do WordPress, utilizando autenticação de dois fatores (2FA) para dificultar o acesso não autorizado. Monitore os logs do WordPress em busca de atividades suspeitas e implemente regras de firewall (WAF) para bloquear requisições maliciosas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14168 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin WP DB Booster para WordPress, permitindo que atacantes não autenticados deletem dados do banco de dados.
Sim, se você estiver utilizando o plugin WP DB Booster nas versões 1.0.0 a 1.0.1, você está vulnerável a ataques CSRF.
Atualize o plugin WP DB Booster para a versão mais recente, que corrige a vulnerabilidade. Utilize plugins de segurança WordPress e autenticação de dois fatores como medidas adicionais.
Não há confirmação de exploração ativa, mas a natureza da vulnerabilidade CSRF a torna potencialmente explorável.
Verifique o site oficial do WP DB Booster ou o repositório de plugins do WordPress para obter o advisory e a versão corrigida.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.