Plataforma
wordpress
Componente
munk-sites
Corrigido em
1.0.8
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Munk Sites da MetricThemes. Esta falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a integridade do site. A vulnerabilidade afeta versões do plugin de 0.0.0 até 1.0.7 e foi corrigida na versão 1.0.8.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize diversas ações maliciosas, como alterar configurações do site, publicar conteúdo falso ou até mesmo excluir dados. O atacante precisa apenas enganar o usuário autenticado para clicar em um link malicioso ou visitar um site comprometido. O impacto pode variar dependendo das permissões do usuário afetado, mas em cenários onde o usuário possui privilégios de administrador, o atacante pode obter controle total sobre o site. A ausência de proteção CSRF adequada torna o site suscetível a ataques de manipulação de requisições.
A vulnerabilidade foi divulgada em 7 de fevereiro de 2025. Não há evidências públicas de exploração ativa em larga escala, mas a alta pontuação CVSS (9.6) indica um alto risco. A ausência de um Proof of Concept (PoC) público não diminui a importância de aplicar a correção, pois a criação de um PoC é relativamente simples para esta classe de vulnerabilidade.
Websites using the MetricThemes Munk Sites plugin, particularly those with administrative access or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'munk-sites/includes/class-munk-sites-admin.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/munk-sites/admin/ | grep -i 'csrf-token'disclosure
Status do Exploit
EPSS
0.74% (percentil 73%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Munk Sites para a versão 1.0.8 ou superior, que inclui a correção para o problema CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a utilização de tokens CSRF em formulários críticos. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF também pode ajudar a reduzir o risco. Verifique se o plugin possui alguma configuração de segurança relacionada a CSRF e ative-a, se disponível.
Atualize o plugin Munk Sites para a última versão disponível para mitigar a vulnerabilidade de CSRF. Esta atualização aborda a possibilidade de um atacante executar ações não autorizadas em seu site WordPress através de requisições falsificadas. Certifique-se de realizar um backup do seu site antes de atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-25101 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting versions 0.0.0–1.0.7 of the MetricThemes Munk Sites WordPress plugin, allowing attackers to perform unauthorized actions.
You are affected if you are using the Munk Sites plugin in versions 0.0.0 through 1.0.7. Upgrade to 1.0.8 or later to mitigate the risk.
Upgrade the Munk Sites plugin to version 1.0.8 or later. If upgrading is not possible, implement a WAF with CSRF protection rules.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your site closely.
Refer to the MetricThemes website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.