Plataforma
wordpress
Componente
recent-posts-from-each-category
Corrigido em
1.4.1
A vulnerabilidade CVE-2025-49354 é uma falha de Cross-Site Request Forgery (CSRF) presente no plugin Recent Posts From Each Category para WordPress. Essa vulnerabilidade, combinada com a possibilidade de XSS (Cross-Site Scripting) armazenado, permite que atacantes executem ações em nome de usuários autenticados sem o seu consentimento. O problema afeta versões do plugin de 0.0.0 até 1.4, e a correção já foi disponibilizada.
Um atacante pode explorar essa vulnerabilidade para realizar ações não autorizadas em nome de usuários autenticados no WordPress. Ao explorar o CSRF, o atacante pode modificar configurações, publicar conteúdo malicioso ou até mesmo obter acesso a informações sensíveis. A combinação com XSS armazenado potencializa o ataque, permitindo a injeção de scripts maliciosos que podem roubar cookies, redirecionar usuários para sites falsos ou comprometer a integridade do site. A exploração bem-sucedida pode resultar em perda de dados, comprometimento da reputação e interrupção do serviço.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Atualmente, não há relatos de exploração ativa em campanhas direcionadas. Não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, tornando a atualização do plugin uma prioridade.
Websites using the Recent Posts From Each Category plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'recent-posts-from-each-category' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/recent-posts-from-each-category/ | grep -i 'content-security-policy'• wordpress / composer / npm:
wp plugin list --status=inactive | grep recent-posts-from-each-categorydisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Recent Posts From Each Category para a versão corrigida. Caso a atualização imediata não seja possível devido a incompatibilidades, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as requisições HTTP e a utilização de tokens CSRF. Implementar uma Web Application Firewall (WAF) com regras para bloquear requisições suspeitas também pode ajudar a mitigar o risco. Verifique se a configuração do WordPress possui as melhores práticas de segurança ativadas, como a exigência de autenticação de dois fatores.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49354 is a Cross-Site Request Forgery (CSRF) vulnerability in the Mindstien Technologies Recent Posts From Each Category WordPress plugin, allowing for Stored XSS attacks.
You are affected if you are using the Recent Posts From Each Category plugin in versions 0.0.0 through 1.4.
Upgrade to a patched version of the plugin as soon as it's available. Disable the plugin as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability warrants careful monitoring.
Check the Mindstien Technologies website and the WordPress plugin repository for updates and advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.