Plataforma
wordpress
Componente
woffice
Corrigido em
5.4.22
O Woffice CRM, um tema para WordPress, apresenta uma vulnerabilidade de Bypass de Autenticação. Essa falha, presente em versões de 0.0.0 até 5.4.21, permite que atacantes não autenticados se registrem com o papel de Administrador, especialmente quando um formulário de login personalizado é utilizado. A atualização para a versão 5.4.22 corrige essa vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado obtenha acesso administrativo completo ao sistema Woffice CRM. Isso significa que o atacante pode criar, modificar e excluir dados, instalar plugins maliciosos, alterar a configuração do WordPress e, potencialmente, comprometer todo o site WordPress. Em combinação com a CVE-2025-2797, um atacante pode contornar o processo de aprovação de usuário, induzindo um administrador a executar ações prejudiciais, como clicar em links maliciosos. O impacto é severo, pois concede controle total sobre o sistema.
A CVE-2025-2798 foi publicada em 2025-04-04. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento da publicação. A existência de uma vulnerabilidade de bypass de autenticação com potencial para acesso administrativo indica um risco significativo, especialmente em ambientes de produção.
Organizations using Woffice CRM, particularly those with custom login forms or relying on the standard user registration process, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server are also vulnerable, as a compromise of one site could potentially impact others. Sites using older, unpatched versions of WordPress are also at increased risk due to potential compatibility issues.
• wordpress / composer / npm:
wp plugin list | grep woffice• wordpress / composer / npm:
wp plugin update woffice• wordpress / composer / npm:
grep -r 'excluded_roles' /var/www/html/wp-content/plugins/wooffice-crm/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wooffice_register_userdisclosure
patch
Status do Exploit
EPSS
1.05% (percentil 77%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 5.4.22 do Woffice CRM. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o formulário de login personalizado. Implementar uma validação robusta de papéis no processo de registro pode ajudar a mitigar o risco. Monitore os logs do WordPress em busca de tentativas de registro suspeitas e considere a implementação de um Web Application Firewall (WAF) para bloquear solicitações maliciosas.
Atualize o tema Woffice CRM para a versão 5.4.22 ou superior para corrigir a vulnerabilidade de bypass de autenticação. Esta atualização aborda a configuração incorreta de roles excluídos durante o registro, prevenindo que atacantes não autenticados se registrem com privilégios de administrador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2798 is a critical vulnerability in Woffice CRM allowing unauthenticated attackers to register with Administrator roles due to a misconfigured registration process.
If you are using Woffice CRM versions 0.0.0 through 5.4.21, you are affected by this vulnerability and must upgrade immediately.
Upgrade Woffice CRM to version 5.4.22 or later to resolve the Authentication Bypass vulnerability. Consider temporary mitigations if immediate upgrade is not possible.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation. Monitor security advisories.
Refer to the official Woffice CRM website or WordPress plugin repository for the latest security advisory and update information regarding CVE-2025-2798.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.