Plataforma
wordpress
Componente
ninja-tables
Corrigido em
5.0.19
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no plugin Ninja Tables – Easy Data Table Builder para WordPress. Essa falha permite que atacantes não autenticados realizem requisições web arbitrárias originadas da aplicação, possibilitando o acesso e a modificação de informações de serviços internos. A vulnerabilidade afeta versões do plugin de 0.0.0 até 5.0.18, sendo corrigida na versão 5.0.19.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante acesse recursos internos que normalmente não estão acessíveis externamente. Isso pode incluir informações sensíveis armazenadas em bancos de dados internos, APIs de serviços internos ou até mesmo a execução de comandos no servidor subjacente, dependendo da configuração do ambiente. Um atacante poderia, por exemplo, escanear a rede interna em busca de serviços vulneráveis ou obter credenciais de acesso. A amplitude do impacto depende da sensibilidade dos dados e serviços acessíveis através das requisições forjadas.
A vulnerabilidade foi publicada em 2025-06-27. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um SSRF em um plugin popular como Ninja Tables aumenta o risco de exploração, especialmente em ambientes WordPress mal configurados.
WordPress websites utilizing the Ninja Tables plugin, particularly those hosting sensitive internal services or data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised Ninja Tables instance could potentially be used to attack other sites on the same server.
• wordpress / plugin:
grep -r 'args[url]' /var/www/html/wp-content/plugins/ninja-tables/*• wordpress / plugin:
wp plugin list --status=all | grep 'ninja-tables'• wordpress / plugin:
wp plugin update ninja-tables --version=5.0.19• generic web:
curl -I 'http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ninja_tables_load_table&args[url]=http://internal-service.local'disclosure
Status do Exploit
EPSS
0.24% (percentil 47%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Ninja Tables – Easy Data Table Builder para a versão 5.0.19 ou superior. Se a atualização imediata não for possível, considere implementar regras de firewall de aplicação web (WAF) para bloquear requisições com URLs suspeitas. Além disso, revise a configuração do servidor web para restringir o acesso a recursos internos. Monitore os logs do servidor web em busca de requisições incomuns originadas do plugin Ninja Tables.
Atualize o plugin Ninja Tables para a versão 5.0.19 ou superior para mitigar a vulnerabilidade de Server-Side Request Forgery. Esta atualização corrige a forma como o plugin lida com as requisições web, prevenindo que atacantes não autenticados realizem requisições para locais arbitrários.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2940 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no plugin Ninja Tables, permitindo que atacantes façam requisições web arbitrárias.
Se você usa o plugin Ninja Tables nas versões de 0.0.0 a 5.0.18, você está afetado. Atualize para a versão 5.0.19 ou superior.
Atualize o plugin Ninja Tables para a versão 5.0.19 ou superior. Considere regras WAF e restrições de firewall como medidas adicionais.
Não há informações confirmadas sobre exploração ativa no momento da publicação, mas o risco de exploração existe devido à natureza da vulnerabilidade.
Consulte o site oficial do Ninja Tables ou o repositório do plugin no WordPress.org para obter o aviso e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.