Plataforma
wordpress
Componente
codeflavors-vimeo-video-post-lite
Corrigido em
2.3.6
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Vimeotheque para WordPress. Essa falha permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento. A vulnerabilidade afeta versões do Vimeotheque entre 0.0.0 e 2.3.5.2, e foi corrigida na versão 2.3.6.
Um atacante pode explorar essa vulnerabilidade para realizar ações não autorizadas na conta de um usuário autenticado no WordPress, como alterar configurações, excluir conteúdo ou até mesmo instalar plugins maliciosos. O impacto é ampliado se o usuário afetado tiver privilégios de administrador, permitindo ao atacante comprometer todo o site. A exploração bem-sucedida pode levar à perda de dados, interrupção do serviço e comprometimento da reputação.
A vulnerabilidade foi divulgada em 2025-12-24. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração CSRF é relativamente simples de implementar.
Websites utilizing the Vimeotheque WordPress plugin, particularly those with user accounts and video content, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable until the plugin is updated across all instances.
• wordpress / composer / npm:
grep -r 'vimeotheque/vimeotheque.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep Vimeotheque• wordpress / composer / npm:
wp plugin update --alldisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Vimeotheque para a versão 2.3.6 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as requisições HTTP e a utilização de tokens CSRF. Implementar políticas de segurança de conteúdo (CSP) também pode ajudar a mitigar o risco. Verifique, após a atualização, se as configurações do plugin foram alteradas inesperadamente.
Atualize para a versão 2.3.6 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Vimeotheque para WordPress, permitindo que atacantes executem ações não autorizadas.
Se você usa o plugin Vimeotheque nas versões entre 0.0.0 e 2.3.5.2, você está afetado. Verifique a versão instalada e atualize.
Atualize o plugin Vimeotheque para a versão 2.3.6 ou superior. Implemente medidas de segurança adicionais como validação de requisições e tokens CSRF.
Não há confirmação de exploração ativa, mas a vulnerabilidade é relativamente fácil de explorar e deve ser tratada com urgência.
Consulte o site do desenvolvedor do plugin Vimeotheque ou o repositório oficial do plugin no WordPress.org para obter informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.