Plataforma
wordpress
Componente
traderunner
Corrigido em
3.14.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no Trade Runner, um plugin para WordPress. Essa falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a integridade dos dados. As versões afetadas são as que variam de 0.0.0 até a versão 3.14. A correção está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante execute ações como modificar configurações, criar ou excluir contas de usuário, ou realizar transações financeiras, tudo isso sem o conhecimento ou consentimento do usuário legítimo. O impacto pode variar dependendo das permissões do usuário afetado, mas em cenários onde o usuário possui privilégios administrativos, o atacante pode obter controle total sobre o sistema Trade Runner. A ausência de proteção CSRF adequada torna o sistema suscetível a ataques que podem levar à perda de dados, comprometimento da segurança e interrupção do serviço.
A vulnerabilidade foi divulgada em 2025-12-24. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza de CSRF a torna um alvo potencial para ataques automatizados. A ausência de um KEV listing indica um risco moderado, mas a facilidade de exploração exige atenção. A existência de um Proof of Concept (PoC) público pode facilitar a exploração por atacantes menos experientes.
Organizations and individuals utilizing Trade Runner versions 0.0.0 through 3.14 are at risk. This includes those deploying Trade Runner on shared WordPress hosting environments, as they may be more vulnerable to CSRF attacks due to limited control over server configurations. Users who frequently access Trade Runner through untrusted links or websites are also at increased risk.
• wordpress / composer / npm:
grep -r "/wp-admin/admin-ajax.php" ./• generic web:
curl -I https://your-trade-runner-site.com/wp-admin/admin-ajax.php | grep -i 'content-security-policy'disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para uma versão corrigida do Trade Runner. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de mitigação temporárias. Implemente tokens CSRF em todos os formulários e requisições críticas. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF. Revise e reforce as políticas de segurança, educando os usuários sobre os riscos de clicar em links suspeitos ou abrir anexos de e-mail não confiáveis. Após a atualização, confirme a correção verificando se as requisições críticas exigem autenticação e validação de tokens CSRF.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-67625 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que afeta o plugin Trade Runner para WordPress, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados.
Se você estiver utilizando o plugin Trade Runner nas versões de 0.0.0 até 3.14, você está afetado por esta vulnerabilidade e deve atualizar para a versão corrigida o mais rápido possível.
A correção é atualizar o plugin Trade Runner para a versão mais recente disponível. Se a atualização imediata não for possível, implemente medidas de mitigação temporárias, como tokens CSRF e um WAF.
Embora não haja evidências de exploração ativa em campanhas direcionadas, a natureza de CSRF a torna um alvo potencial para ataques automatizados e a existência de um PoC público aumenta o risco.
Consulte o site oficial do Trade Runner ou o repositório do plugin no WordPress para obter o advisory oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.