Plataforma
wordpress
Componente
buddypress-humanity
Corrigido em
1.2.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Buddypress Humanity. Essa falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a segurança do site. A vulnerabilidade afeta versões do plugin de 0.0.0 até 1.2 e foi corrigida na versão 1.2.1.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize diversas ações maliciosas, como alterar perfis de usuário, modificar configurações do site ou até mesmo excluir conteúdo, tudo isso sem o conhecimento ou consentimento do usuário. O impacto é amplificado se o usuário afetado tiver privilégios administrativos, pois o atacante poderia obter controle total sobre o site. A ausência de proteção CSRF adequada torna o plugin um alvo fácil para ataques, especialmente em sites com alta atividade de usuários.
A vulnerabilidade foi divulgada publicamente em 9 de abril de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento. A existência de um CSRF em um plugin popular como Buddypress Humanity aumenta o risco de exploração, especialmente em sites que não aplicam medidas de segurança adicionais.
WordPress websites utilizing the Buddypress Humanity plugin, particularly those with shared hosting environments or legacy configurations, are at increased risk. Sites with weak password policies or users who frequently click on suspicious links are also more vulnerable to CSRF attacks.
• wordpress / composer / npm:
grep -r 'humanity_settings_update' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/buddypress-humanity/ | grep -i 'csrf-token'disclosure
Status do Exploit
EPSS
0.17% (percentil 39%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Buddypress Humanity para a versão 1.2.1 ou superior, que inclui a correção para o problema CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear solicitações CSRF. Além disso, educar os usuários sobre os riscos de clicar em links suspeitos e fornecer treinamento sobre práticas de segurança online pode ajudar a reduzir a probabilidade de exploração.
Atualize o plugin Buddypress Humanity para a última versão disponível para mitigar a vulnerabilidade de CSRF. Verifique as atualizações do plugin diretamente no painel de administração do WordPress ou através do repositório de plugins do WordPress. Implemente medidas de segurança adicionais, como a validação de entrada e a codificação de saída, para prevenir futuros ataques CSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-31033 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting the Buddypress Humanity WordPress plugin, allowing attackers to perform unauthorized actions.
Yes, if you are using Buddypress Humanity versions 0.0.0 through 1.2, you are affected by this vulnerability.
Upgrade the Buddypress Humanity plugin to version 1.2.1 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the CSRF nature of the vulnerability suggests a moderate probability of exploitation.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.