Plataforma
wordpress
Componente
pdf-creator-lite
Corrigido em
1.2.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no PDF Creator Lite, permitindo a execução de XSS armazenado. Essa falha permite que atacantes realizem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a segurança do sistema. A vulnerabilidade afeta versões do PDF Creator Lite desde a versão 0.0.0 até a 1.2. A correção foi publicada em 2025-12-09.
A exploração bem-sucedida desta vulnerabilidade CSRF, combinada com a possibilidade de XSS armazenado, pode ter um impacto significativo. Um atacante pode, por exemplo, induzir um usuário a clicar em um link malicioso ou visitar uma página comprometida, resultando na execução de scripts JavaScript arbitrários no navegador do usuário. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página web. A combinação de CSRF e XSS aumenta o potencial de ataque, permitindo que um atacante não apenas execute ações em nome do usuário, mas também injete conteúdo malicioso na página.
A vulnerabilidade foi publicada em 2025-12-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de XSS armazenado, combinada com o CSRF, aumenta a probabilidade de exploração, especialmente se o PDF Creator Lite for amplamente utilizado e não estiver devidamente protegido.
WordPress websites utilizing the PDF Creator Lite plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the necessary updates. Sites with user-generated content processed by the plugin are especially susceptible.
• wordpress / composer / npm:
grep -r "PDF Creator Lite" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "PDF Creator Lite"• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-creator-lite/ | grep -i 'X-Frame-Options'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para uma versão corrigida do PDF Creator Lite, assim que disponível. Enquanto a atualização não estiver disponível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as entradas do usuário e a utilização de tokens CSRF em todas as requisições críticas. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto do XSS. Além disso, monitore os logs do WordPress em busca de atividades suspeitas, como requisições inesperadas ou modificações não autorizadas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49341 is a Cross-Site Request Forgery (CSRF) vulnerability in the PDF Creator Lite WordPress plugin, allowing for Stored XSS attacks. It affects versions 0.0.0 through 1.2.
If you are using PDF Creator Lite plugin versions 0.0.0 to 1.2 on your WordPress site, you are potentially affected by this vulnerability.
The recommended fix is to update the PDF Creator Lite plugin to the latest available version that addresses the CSRF vulnerability. Check the WordPress plugin repository for updates.
While no public exploits are currently known, the CSRF/XSS combination is a common attack vector, so active exploitation is possible.
Check the official PDF Creator Lite plugin page on the WordPress plugin repository or the developer's website for the advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.