Plataforma
wordpress
Componente
easy-property-listings-xml-csv-import
Corrigido em
2.2.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Import into Easy Property Listings para WordPress. Essa falha permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento. A vulnerabilidade afeta versões do plugin de 0.0.0 até 2.2.1. A correção foi disponibilizada na versão 2.2.2.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações administrativas, como alterar configurações do plugin, adicionar ou remover listagens de propriedades, ou até mesmo comprometer dados sensíveis associados às listagens. Um atacante pode criar um site malicioso ou enviar um e-mail com um link que, ao ser acessado por um usuário autenticado no plugin, executa ações indesejadas. O impacto potencial varia dependendo das permissões do usuário afetado, mas pode levar à manipulação de dados e comprometimento da integridade do sistema.
A vulnerabilidade foi divulgada em 30 de dezembro de 2025. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 4.3 indica um risco médio. Não foi adicionada ao Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA até o momento.
WordPress websites utilizing the Import into Easy Property Listings plugin, particularly those with user accounts that have administrative privileges or the ability to manage property listings, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is vulnerable and an attacker can leverage cross-site scripting to target users on other sites.
• wordpress / composer / npm:
grep -r 'easy-property-listings-xml-csv-import' /var/www/html/
wp plugin list | grep 'easy-property-listings-xml-csv-import'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=easy_property_listings_import_processdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Import into Easy Property Listings para a versão 2.2.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a utilização de tokens CSRF em formulários críticos do plugin. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF também pode ajudar a reduzir o risco. Monitore os logs do WordPress em busca de padrões suspeitos de requisições HTTP.
Atualize para a versão 2.2.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62112 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Import into Easy Property Listings para WordPress, permitindo que atacantes executem ações não autorizadas.
Se você estiver utilizando o plugin Import into Easy Property Listings em versões de 0.0.0 até 2.2.1, você está afetado por esta vulnerabilidade.
Corrija atualizando o plugin para a versão 2.2.2 ou superior. Considere implementar medidas de segurança adicionais, como tokens CSRF.
Até o momento, não há relatos públicos de exploração ativa desta vulnerabilidade.
Verifique o site oficial do plugin ou o repositório do WordPress para obter o advisory oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.