Plataforma
wordpress
Componente
advanced-classifieds-and-directory-pro
Corrigido em
3.2.10
A vulnerabilidade CVE-2025-68580 representa uma falha de Cross-Site Request Forgery (CSRF) no plugin Advanced Classifieds & Directory Pro. Um atacante pode explorar essa falha para executar ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo dados e funcionalidades do sistema. Essa vulnerabilidade afeta versões do plugin entre 0.0.0 e 3.2.9, sendo corrigida na versão 3.3.0.
Um atacante pode explorar a vulnerabilidade CSRF para realizar diversas ações maliciosas, como modificar configurações do sistema, criar ou excluir anúncios, alterar informações de usuários ou até mesmo obter acesso administrativo. O impacto potencial é significativo, pois um atacante pode comprometer a integridade dos dados e a segurança da plataforma. A exploração bem-sucedida depende da capacidade do atacante de induzir um usuário autenticado a interagir com uma requisição maliciosa, sem que ele perceba. A ausência de proteção CSRF adequada permite que um atacante se aproveite da sessão ativa de um usuário legítimo para executar ações em seu nome.
A vulnerabilidade CVE-2025-68580 foi divulgada em 2025-12-24. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração CSRF é relativamente simples de implementar.
Websites utilizing pluginsware Advanced Classifieds & Directory Pro versions 0.0.0 through 3.2.9 are at risk. This includes businesses and individuals relying on the plugin for classified listings or directory management. Shared hosting environments are particularly vulnerable, as attackers could potentially exploit the vulnerability across multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'pluginsware/advanced-classifieds-and-directory-pro' /var/www/html
wp plugin list | grep advanced-classifieds• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=some_sensitive_action | grep Content-Typedisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-68580 é a atualização imediata para a versão 3.3.0 do plugin Advanced Classifieds & Directory Pro. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a utilização de tokens CSRF em todas as requisições críticas. Implementar uma política de segurança de conteúdo (CSP) pode ajudar a mitigar o risco, restringindo as fontes de onde o navegador pode carregar recursos. Monitore os logs do servidor em busca de padrões suspeitos de requisições, como requisições POST inesperadas ou modificações de dados não autorizadas.
Atualize para a versão 3.3.0 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68580 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Advanced Classifieds & Directory Pro, permitindo que atacantes executem ações não autorizadas.
Se você estiver utilizando o plugin Advanced Classifieds & Directory Pro nas versões entre 0.0.0 e 3.2.9, você está afetado por essa vulnerabilidade.
Atualize o plugin Advanced Classifieds & Directory Pro para a versão 3.3.0 ou superior para corrigir a vulnerabilidade.
Não há informações disponíveis sobre exploração ativa no momento, mas a vulnerabilidade é potencialmente explorável.
Consulte o site oficial do plugin Advanced Classifieds & Directory Pro ou o repositório do WordPress para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.