Plataforma
wordpress
Componente
tablemaster-for-elementor
Corrigido em
1.3.7
A vulnerabilidade CVE-2025-14610 é uma falha de Server-Side Request Forgery (SSRF) identificada no plugin TableMaster for Elementor para WordPress. Essa falha permite que atacantes autenticados, com permissões de Autor ou superiores, realizem requisições web para locais arbitrários, potencialmente expondo informações sensíveis. As versões afetadas são de 1.0.0 até 1.3.6, sendo corrigida na versão 1.3.7.
Um atacante explorando essa vulnerabilidade pode realizar requisições HTTP para qualquer URL que o servidor WordPress possa acessar. Isso inclui URLs locais (localhost) e serviços na rede interna. O impacto mais grave é a possibilidade de ler arquivos sensíveis do servidor, como o arquivo wp-config.php, que contém informações de configuração do WordPress, incluindo credenciais de banco de dados. A exploração bem-sucedida pode levar ao comprometimento completo do site WordPress, permitindo que o atacante acesse dados confidenciais, modifique o conteúdo do site e execute código malicioso. Essa vulnerabilidade se assemelha a outras falhas SSRF que permitiram o acesso a informações internas em sistemas web.
A vulnerabilidade foi publicada em 2026-01-28. Não há informações disponíveis sobre a inclusão em KEV ou um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente conhecido, mas a natureza da vulnerabilidade SSRF a torna um alvo potencial para exploração. É recomendável monitorar a situação e implementar as medidas de mitigação o mais rápido possível.
WordPress websites utilizing the TableMaster for Elementor plugin, particularly those with shared hosting environments or legacy configurations, are at risk. Sites where the 'csv_url' parameter is exposed to users with Author or higher roles are especially vulnerable.
• wordpress / composer / npm:
grep -r 'csv_url' /var/www/html/wp-content/plugins/tablemaster-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=tablemaster_import_csv&csv_url=http://internal-server/sensitive-file.txt• wordpress / composer / npm:
wp plugin list --status=active | grep tablemaster-for-elementordisclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-14610 é atualizar o plugin TableMaster for Elementor para a versão 1.3.7 ou superior. Se a atualização imediata não for possível, considere restringir o acesso ao widget 'Data Table' para usuários com permissões limitadas. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições HTTP para URLs suspeitas pode ajudar a mitigar o risco. Monitore os logs do servidor WordPress em busca de requisições incomuns originadas do plugin TableMaster for Elementor, especialmente aquelas que acessam URLs internas. Não há um padrão Sigma ou YARA específico conhecido para esta vulnerabilidade, mas a análise de tráfego de rede pode revelar requisições suspeitas.
Atualize para a versão 1.3.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14610 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no plugin TableMaster for Elementor, permitindo que atacantes autenticados realizem requisições web arbitrárias e potencialmente acessem arquivos sensíveis.
Se você estiver utilizando o plugin TableMaster for Elementor em versões de 1.0.0 a 1.3.6, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin TableMaster for Elementor para a versão 1.3.7 ou superior. Considere também restringir o acesso ao widget 'Data Table' para usuários com permissões limitadas.
Embora não haja confirmação de exploração ativa, a natureza da vulnerabilidade SSRF a torna um alvo potencial e é recomendável aplicar as medidas de mitigação.
Verifique o site oficial do TableMaster for Elementor ou o repositório de plugins do WordPress para obter o advisory oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.