Plataforma
wordpress
Componente
my-auctions-allegro-free-edition
Corrigido em
3.6.34
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin My auctions allegro, afetando versões desde 0.0.0 até 3.6.33. CSRF permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento, potencialmente comprometendo a integridade dos dados e a segurança do sistema. A vulnerabilidade foi publicada em 24 de dezembro de 2025 e uma correção está disponível na versão 3.6.34.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações não autorizadas na aplicação My auctions allegro, como modificar lances, alterar configurações ou até mesmo excluir itens. O impacto pode variar dependendo das permissões do usuário atacado, mas em cenários onde o atacante consegue se passar por um administrador, o dano potencial é significativo. Um atacante pode, por exemplo, criar lances falsos para manipular leilões ou alterar informações de produtos, causando prejuízo aos usuários e à reputação do sistema. A falta de proteção CSRF torna a aplicação suscetível a ataques que podem comprometer a confiança dos usuários e a integridade dos dados.
A vulnerabilidade foi divulgada publicamente em 24 de dezembro de 2025. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento da publicação. A severidade da vulnerabilidade é classificada como Média (CVSS 5.4), indicando uma probabilidade moderada de exploração.
WordPress site owners using the My auctions allegro plugin, particularly those running older versions (0.0.0–3.6.33). Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be promptly updated.
• wordpress / composer / npm:
grep -r 'my-auctions-allegro-free-edition' /var/www/html/
wp plugin list | grep 'My auctions allegro'• generic web:
curl -I https://example.com/my-auctions-allegro/ | grep -i 'csrf-token'disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin My auctions allegro para a versão 3.6.34 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação de tokens CSRF em todas as requisições que modificam o estado da aplicação. Implementar uma política de segurança de conteúdo (CSP) também pode ajudar a mitigar o risco, restringindo as fontes de scripts que podem ser executados na página. Monitore os logs do servidor em busca de padrões suspeitos de requisições, como requisições originadas de domínios desconhecidos.
Atualize para a versão 3.6.34, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68567 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin My auctions allegro, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados.
Se você estiver utilizando o plugin My auctions allegro em versões entre 0.0.0 e 3.6.33, você está afetado por esta vulnerabilidade.
Atualize o plugin My auctions allegro para a versão 3.6.34 ou superior para corrigir a vulnerabilidade.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade é considerada de severidade média.
Consulte o site oficial do My auctions allegro ou o repositório do plugin no WordPress.org para obter o advisory oficial e informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.