Plataforma
wordpress
Componente
post-slides
Corrigido em
1.0.2
Uma vulnerabilidade de Inclusão de Arquivos Local (LFI) foi descoberta no plugin Post Slides para WordPress. Essa falha permite que usuários autenticados, com permissões de contribuinte ou superiores, explorem a falta de validação de atributos de shortcode para incluir arquivos arbitrários no servidor. As versões afetadas são de 0 até 1.0.1. A correção foi publicada e a aplicação da atualização é a medida recomendada para mitigar o risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, com acesso autenticado ao site WordPress, inclua arquivos arbitrários no servidor. Isso pode levar à divulgação de informações confidenciais, como arquivos de configuração, código-fonte ou dados sensíveis armazenados no servidor. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do site e dos dados associados. A falta de validação dos atributos de shortcode abre uma porta para a leitura de arquivos que não deveriam ser acessíveis.
Esta vulnerabilidade foi divulgada em 2026-02-07. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação da correção ou a implementação de medidas de mitigação é altamente recomendada.
WordPress websites using the Post Slides plugin, particularly those with multiple users having contributor or higher roles, are at risk. Shared hosting environments where users have limited control over plugin configurations are also particularly vulnerable. Sites with outdated WordPress installations or weak security practices are at increased risk.
• wordpress / composer / npm:
grep -r "include(get_include_path()" /var/www/html/wp-content/plugins/post-slides/• wordpress / composer / npm:
wp plugin list --status=all | grep "post-slides"• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/post-slides/ | grep -i "include"disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata do plugin Post Slides para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de mitigação temporárias. Isso pode incluir a restrição do acesso a arquivos sensíveis através de permissões de arquivo adequadas no servidor, ou a utilização de um firewall de aplicação web (WAF) para bloquear solicitações maliciosas que tentam explorar a vulnerabilidade. Monitore os logs do servidor em busca de atividades suspeitas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-15491 is a Local File Inclusion vulnerability in the Post Slides WordPress plugin, allowing authenticated users to read arbitrary files on the server. It affects versions 0 through 1.0.1 and has a CVSS score of 7.5.
You are affected if your WordPress site uses the Post Slides plugin in versions 0–1.0.1 and you have users with contributor or higher roles.
Upgrade to the latest version of the Post Slides plugin as soon as a patch is released. Until then, restrict access to the plugin's shortcode functionality or implement server-side input validation.
No active exploitation has been confirmed at this time, but the ease of exploitation suggests a PoC may emerge.
Please refer to the Post Slides plugin developer's website or WordPress.org plugin repository for the official advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.