Plataforma
wordpress
Componente
vite-coupon
Corrigido em
1.0.10
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Vite Coupon para WordPress, permitindo a Inclusão de Código Remoto (RCE). Essa falha afeta as versões do Vite Coupon a partir da versão n/a até a versão 1.0.9, inclusive. A exploração bem-sucedida pode levar à execução de código malicioso no servidor WordPress, comprometendo a integridade e a confidencialidade dos dados.
A vulnerabilidade permite que um atacante, através de um ataque CSRF, inclua código arbitrário no servidor WordPress onde o plugin Vite Coupon está instalado. Isso significa que um atacante pode executar comandos no servidor com as permissões do usuário do WordPress, potencialmente obtendo acesso a dados sensíveis, instalando malware ou comprometendo completamente o site. O impacto é severo, pois a execução remota de código permite um controle significativo sobre o sistema. A exploração bem-sucedida pode resultar na exfiltração de dados confidenciais, modificação de conteúdo do site, ou até mesmo no uso do servidor para ataques a outros sistemas.
A vulnerabilidade foi divulgada publicamente em 2025-04-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma vulnerabilidade RCE com pontuação CVSS 9.6 indica um alto risco potencial, e a ausência de mitigação pode torná-lo um alvo atraente para atacantes.
Websites using the Vite Coupon plugin, particularly those with a large user base or handling sensitive customer data, are at significant risk. Shared WordPress hosting environments are especially vulnerable, as a compromise of one site can potentially impact others on the same server. Sites with outdated WordPress installations or weak CSRF protection are also at increased risk.
• wordpress / plugin: Use wp-cli to check the installed version of Vite Coupon: wp plugin version vite-coupon. If the version is less than 1.0.8, the system is vulnerable.
• wordpress / plugin: Search WordPress plugin files for suspicious code related to code inclusion, particularly in areas handling user input or external data.
• generic web: Monitor web server access logs for requests containing unusual parameters or file extensions associated with code execution (e.g., .php, .js, .cgi).
• generic web: Inspect response headers for unexpected content or code execution indicators.
disclosure
Status do Exploit
EPSS
0.14% (percentil 33%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Vite Coupon para a versão 1.0.8 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de proteção CSRF, como a validação de tokens CSRF em todas as requisições que modificam dados. Considere a utilização de um Web Application Firewall (WAF) com regras para bloquear requisições CSRF suspeitas. Além disso, revise as permissões do usuário do WordPress para garantir que elas sejam o mínimo necessário para o funcionamento do plugin.
Atualize o plugin Vite Coupon para a última versão disponível para mitigar a vulnerabilidade de CSRF que poderia permitir a execução remota de código. Consulte as fontes oficiais do plugin ou o repositório de WordPress para obter a versão atualizada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-32642 is a critical Remote Code Execution (RCE) vulnerability in the Vite Coupon WordPress plugin, allowing attackers to execute arbitrary code via CSRF. It affects versions 0 through 1.0.9.
Yes, if you are using Vite Coupon version 0 through 1.0.9, you are affected by this vulnerability. Upgrade immediately.
Upgrade the Vite Coupon plugin to version 1.0.8 or later. If immediate upgrade is not possible, implement WAF rules and ensure CSRF protection is enabled.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for active campaigns. Monitor security advisories.
Refer to the Vite Coupon plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.