Plataforma
wordpress
Componente
ar-for-wordpress
Corrigido em
8.34.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin AR For WordPress, permitindo que atacantes explorem essa falha para fazer upload de um web shell para o servidor web. Essa vulnerabilidade é classificada como crítica, com um CVSS de 9.6. As versões afetadas são da 0.0.0 até a 8.34, e a correção está disponível na versão 7.98.1.
A exploração bem-sucedida desta vulnerabilidade CSRF permite a um atacante, sem autenticação, enviar solicitações maliciosas em nome de um usuário autenticado. No contexto do AR For WordPress, isso pode ser explorado para fazer upload de um web shell, que é um script que permite a um atacante executar comandos arbitrários no servidor web. A obtenção de um web shell concede ao atacante controle total sobre o servidor, permitindo a exfiltração de dados sensíveis, a instalação de malware, ou o uso do servidor para lançar ataques contra outros sistemas. A ausência de autenticação necessária para a exploração aumenta significativamente o risco, tornando o servidor vulnerável a ataques de qualquer fonte.
Esta vulnerabilidade foi divulgada em 26 de setembro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um CSRF que permite o upload de um web shell é uma vulnerabilidade de alta gravidade, e a ausência de um PoC público não diminui o risco, pois a exploração é relativamente simples.
Websites utilizing AR For WordPress, particularly those with limited security controls or shared hosting environments, are at significant risk. Sites with older, unpatched versions of the plugin are especially vulnerable. Administrators who haven't implemented robust CSRF protection measures are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'AR For WordPress'• wordpress / composer / npm:
wp plugin path ar-for-wordpressdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin AR For WordPress para a versão 7.98.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desabilitar temporariamente o plugin ou restringir o acesso a ele apenas a usuários confiáveis. Implementar políticas de segurança de CSRF, como a exigência de tokens CSRF em todas as solicitações de upload, pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de upload de arquivos suspeitos e configure um Web Application Firewall (WAF) para bloquear solicitações maliciosas.
Atualize o plugin AR For WordPress para a última versão disponível para mitigar a vulnerabilidade de Cross-Site Request Forgery (CSRF). Verifique as atualizações no repositório de WordPress ou no site do desenvolvedor. Implemente medidas de segurança adicionais, como a validação de entradas e a proteção CSRF, para fortalecer a segurança do seu site.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-60156 is a critical Cross-Site Request Forgery (CSRF) vulnerability in AR For WordPress allowing attackers to upload web shells, potentially leading to server compromise.
If you are using AR For WordPress versions 0.0.0 through 8.34, you are affected by this vulnerability. Upgrade immediately.
Upgrade AR For WordPress to version 7.98.1 or later to resolve this vulnerability. Consider implementing additional security measures like CSP if immediate upgrade isn't possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the official AR For WordPress website or plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.