Plataforma
wordpress
Componente
realteo
Corrigido em
1.2.9
A vulnerabilidade CVE-2025-2232 afeta o plugin Realteo - Real Estate para WordPress, desenvolvido pela Purethemes e utilizado com o tema Findeo. Esta falha de bypass de autenticação permite que atacantes não autenticados obtenham acesso privilegiado ao sistema, registrando contas com o papel de Administrador. As versões afetadas são todas as versões até e incluindo 1.2.8. A correção oficial está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado crie uma conta de usuário com privilégios de administrador no sistema WordPress. Isso concede ao atacante controle total sobre o site, incluindo a capacidade de visualizar, modificar ou excluir dados, instalar plugins maliciosos, alterar a configuração do site e potencialmente comprometer outros sistemas conectados. O impacto é severo, pois a conta de administrador pode ser usada para realizar uma ampla gama de ataques, como roubo de dados, defacement do site e ataques a outros sistemas na rede. A falta de autenticação adequada torna o ataque relativamente simples de executar, aumentando o risco de exploração.
O CVE-2025-2232 foi publicado em 14 de março de 2025. Atualmente, não há informações sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. A gravidade da vulnerabilidade (CVSS 9.8) indica um alto risco de exploração, especialmente em ambientes WordPress com configurações padrão.
Websites utilizing the Realteo - Real Estate Plugin, particularly those running older, unpatched versions (0–1.2.8), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites relying on the Findeo Theme, which integrates with the plugin, are also affected.
• wordpress / composer / npm:
wp plugin list --status=active | grep Realteo• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status realteo-real-estate-plugin• wordpress / composer / npm:
wp option get admin_user_email• wordpress / composer / npm:
wp user get admin --fields=rolesdisclosure
Status do Exploit
EPSS
0.88% (percentil 75%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin Realteo - Real Estate para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere desativar o plugin até que a atualização possa ser aplicada. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear tentativas de registro suspeitas. Monitore os logs do WordPress em busca de atividades incomuns, como registros de usuários com privilégios de administrador de endereços IP desconhecidos. Após a atualização, verifique se os usuários não autenticados não conseguem mais registrar contas com privilégios de administrador.
Atualize o plugin Realteo para uma versão corrigida. Verifique o site da Purethemes ou o repositório do WordPress para obter a versão mais recente disponível que corrige a vulnerabilidade de ignorar autenticação. Certifique-se de fazer um backup completo do site antes de atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2232 is a CRITICAL vulnerability in the Realteo - Real Estate Plugin for WordPress allowing unauthenticated attackers to create administrator accounts, gaining full control of the site.
If you are using the Realteo - Real Estate Plugin for WordPress in versions 0 through 1.2.8, you are affected by this vulnerability. Check your plugin versions immediately.
The recommended fix is to immediately upgrade the Realteo - Real Estate Plugin to the latest patched version available from the vendor. If upgrading is not possible, implement temporary role-based access controls.
While no active campaigns have been confirmed, the vulnerability is considered high-priority and public proof-of-concept code is likely to emerge, increasing the risk of exploitation.
Refer to the Purethemes website and WordPress plugin repository for the latest advisory and patched version of the Realteo - Real Estate Plugin.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.