Plataforma
wordpress
Componente
career-section
Corrigido em
1.6.1
1.7
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Career Section para WordPress. Essa falha permite que atacantes, através de requisições forjadas, deletem arquivos arbitrários no servidor, comprometendo a integridade do sistema. A vulnerabilidade afeta todas as versões do plugin até a 1.6, e a correção está disponível na versão 1.7.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, com a capacidade de induzir um administrador do site a executar uma ação (como clicar em um link malicioso), delete arquivos críticos do servidor. Isso pode levar à interrupção do serviço, perda de dados, ou até mesmo à tomada de controle do servidor. A natureza CSRF da vulnerabilidade exige que o atacante consiga enganar um usuário autenticado (administrador) para que execute a ação maliciosa, mas uma vez que isso é alcançado, o impacto pode ser significativo. A deleção de arquivos de configuração ou arquivos do WordPress pode causar falhas graves no funcionamento do site.
A vulnerabilidade foi divulgada em 2026-04-16. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um CSRF sem validação adequada é um padrão comum e pode ser explorado por atacantes com conhecimento em segurança web. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é relativamente simples.
Websites utilizing the Career Section plugin, particularly those with WordPress administrators who are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a successful exploit on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'appform_options_page_html' /var/www/html/wp-content/plugins/career-section/• wordpress / composer / npm:
wp plugin list | grep 'career-section'• wordpress / composer / npm:
wp plugin update career-section --version=1.7• generic web: Check WordPress plugin directory for outdated versions of Career Section.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Career Section para a versão 1.7, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como a restrição de acesso à página de opções do plugin e a implementação de políticas de segurança de conteúdo (CSP) para mitigar o risco de CSRF. Considere também a utilização de um Web Application Firewall (WAF) para detectar e bloquear requisições maliciosas. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso ou deleção de arquivos não autorizados.
Atualize para a versão 1.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14868 is a Path Traversal vulnerability in the Career Section WordPress plugin allowing attackers to delete arbitrary files via CSRF. It affects versions up to 1.6.
If you are using the Career Section WordPress plugin version 1.6 or earlier, you are vulnerable to this Path Traversal attack.
Upgrade the Career Section plugin to version 1.7 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability's nature and reliance on CSRF suggest a potential for targeted attacks.
Refer to the plugin developer's website or the WordPress plugin directory for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.