Plataforma
wordpress
Componente
social-profilr-display-social-network-profile
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Social Profilr. Essa falha permite que um atacante execute XSS armazenado, comprometendo a segurança dos dados do usuário. A vulnerabilidade afeta versões do Social Profilr de 0.0.0 até 1.0. A correção está disponível em versões futuras do plugin.
A exploração bem-sucedida desta vulnerabilidade CSRF, que permite XSS armazenado, pode ter um impacto significativo. Um atacante pode induzir um usuário autenticado a executar ações indesejadas, como alterar configurações, postar conteúdo malicioso ou até mesmo roubar cookies de sessão. O XSS armazenado, em particular, é perigoso porque o código malicioso é armazenado no servidor e pode afetar todos os usuários que visualizam o conteúdo comprometido. Isso pode levar à defacement do site, roubo de informações confidenciais e comprometimento da reputação.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há relatos públicos de exploração ativa no momento. A probabilidade de exploração é considerada média, dada a natureza do CSRF e a possibilidade de XSS armazenado. A ausência de um PoC público não elimina o risco, pois a exploração pode ser realizada por atacantes com conhecimento técnico.
Websites utilizing the Social Profilr WordPress plugin, particularly those with user accounts and social network integration, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / plugin:
grep -r 'socialprofilr_display_social_network_profile' /var/www/html/wp-content/plugins/• wordpress / plugin:
wp plugin list --status=inactive | grep socialprofilr• wordpress / plugin:
wp plugin list | grep socialprofilrdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
Enquanto a correção oficial não está disponível, algumas medidas de mitigação podem ser implementadas. Primeiramente, desative o plugin Social Profilr se não for essencial. Em segundo lugar, implemente políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados no seu site WordPress. Considere também a utilização de um firewall de aplicação web (WAF) para detectar e bloquear solicitações CSRF maliciosas. Monitore os logs do WordPress em busca de atividades suspeitas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49343 is a Cross-Site Request Forgery (CSRF) vulnerability in the Social Profilr WordPress plugin, allowing attackers to perform actions as authenticated users and potentially execute Stored XSS.
You are affected if your WordPress site uses the Social Profilr plugin and is running version 0.0.0 through 1.0. Immediate mitigation is recommended.
Upgrade to a patched version of the Social Profilr plugin as soon as it becomes available. Until then, implement input validation and consider using a WAF.
There is currently no confirmed active exploitation of CVE-2025-49343, but the HIGH severity score indicates a potential risk.
Refer to the Social Profilr plugin's official website or WordPress plugin repository for updates and advisories regarding CVE-2025-49343.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.