Escanear grátis
CRITICALCVE-2025-14892CVSS 9.8

Prime Listing Manager <= 1.1 - Escalada de Privilégios Não Autenticada

Plataforma

wordpress

Componente

prime-listing-manager

Corrigido em

1.1.1

AI Confidence: highNVDEPSS 0.0%Revisado: mai. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2025-14892 afeta o plugin Prime Listing Manager para WordPress, permitindo que um atacante obtenha acesso administrativo sem a necessidade de uma conta válida. Essa escalada de privilégios é causada por uma chave secreta codificada no plugin, que pode ser explorada para realizar ações não autorizadas. As versões afetadas são 0 até 1.1. A correção está disponível em versões posteriores do plugin.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite que um atacante assuma o controle total do site WordPress afetado, sem qualquer tipo de autenticação. Isso significa que o atacante pode modificar conteúdo, instalar malware, roubar dados confidenciais de usuários, ou até mesmo excluir o site inteiro. O impacto é severo, pois a ausência de autenticação necessária para a exploração torna o ataque relativamente simples e acessível a uma ampla gama de atacantes. A chave secreta codificada representa um risco significativo, pois sua descoberta permite a contornação completa dos mecanismos de segurança do WordPress.

Contexto de Exploração

A vulnerabilidade foi divulgada em 2026-02-12. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco, mas a severidade do CVSS indica um alto potencial de exploração. A vulnerabilidade foi adicionada ao catálogo KEV da CISA, indicando uma preocupação significativa com a segurança.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

EPSS

0.02% (percentil 6%)

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componenteprime-listing-manager
Fornecedorwordfence
Faixa afetadaCorrigido em
0 – 1.11.1.1

Classificação de Fraqueza (CWE)

CWE-269

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS atualizado
Sem correção — 101 dias desde a divulgação

Mitigação e Soluções Alternativas

A mitigação primária é a atualização imediata do plugin Prime Listing Manager para a versão mais recente, que corrige a vulnerabilidade. Se a atualização não for possível devido a incompatibilidades ou problemas de dependência, considere desativar o plugin temporariamente. Como medida adicional, revise cuidadosamente o código-fonte do plugin em busca de outras possíveis vulnerabilidades. Implementar um firewall de aplicação web (WAF) pode ajudar a bloquear tentativas de exploração, embora não seja uma solução completa. Monitore os logs do WordPress em busca de atividades suspeitas.

Como corrigir

Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentestraduzindo…

What is CVE-2025-14892 — Privilege Escalation in Prime Listing Manager?

CVE-2025-14892 is a critical vulnerability in the Prime Listing Manager WordPress plugin that allows attackers to gain administrative access without authentication, enabling unauthorized actions.

Am I affected by CVE-2025-14892 in Prime Listing Manager?

If you are using the Prime Listing Manager WordPress plugin in versions 0–1.1, you are potentially affected by this vulnerability. Immediate action is required.

How do I fix CVE-2025-14892 in Prime Listing Manager?

Currently, there is no fixed version available. The recommended mitigation is to disable the plugin until a patch is released by the vendor. Monitor for updates.

Is CVE-2025-14892 being actively exploited?

While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation attempts in the near future.

Where can I find the official Prime Listing Manager advisory for CVE-2025-14892?

Refer to the Prime Listing Manager plugin's official website or WordPress plugin repository for updates and advisories regarding CVE-2025-14892.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs