Plataforma
wordpress
Componente
soledad
Corrigido em
8.6.8
A vulnerabilidade CVE-2025-8105 afeta o tema Soledad para WordPress, permitindo a execução arbitrária de shortcodes. Essa falha ocorre devido à falta de validação adequada de valores antes da execução da função do_shortcode, possibilitando a injeção de código malicioso. Versões do tema Soledad até 8.6.7 são vulneráveis. A correção foi disponibilizada em versões posteriores, e a aplicação de medidas de mitigação é recomendada até a atualização.
Um atacante não autenticado pode explorar essa vulnerabilidade para executar shortcodes arbitrários no site WordPress que utiliza o tema Soledad. Isso pode levar à execução de código malicioso no servidor, permitindo a modificação de conteúdo, a instalação de backdoors, o roubo de dados sensíveis e até mesmo o controle total do site. O impacto é significativo, pois a execução de shortcodes pode ser usada para realizar uma ampla gama de ataques, comprometendo a integridade e a confidencialidade dos dados do site e de seus usuários. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta o risco de exploração em massa.
A vulnerabilidade foi divulgada em 16 de agosto de 2025. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A vulnerabilidade foi adicionada ao catálogo KEV da CISA, indicando um risco moderado de exploração. A ausência de PoCs públicos não elimina a possibilidade de exploração por atacantes mais sofisticados.
Websites using the Soledad WordPress theme, particularly those running versions 0.0.0 through 8.6.7, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak security configurations or outdated WordPress installations are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/themes/soledad/• wordpress / composer / npm:
wp plugin list | grep soledad• wordpress / composer / npm:
wp theme list | grep soledaddisclosure
Status do Exploit
EPSS
0.43% (percentil 62%)
CISA SSVC
Vetor CVSS
A principal mitigação é atualizar o tema Soledad para uma versão corrigida que não apresente a vulnerabilidade de execução arbitrária de shortcodes. Se a atualização imediata não for possível, considere desativar temporariamente o tema Soledad ou aplicar restrições de acesso à função do_shortcode. Implementar um Web Application Firewall (WAF) com regras para bloquear a execução de shortcodes suspeitos também pode ajudar a mitigar o risco. Monitore os logs do WordPress em busca de tentativas de execução de shortcodes não autorizados.
Actualice el tema Soledad a la última versión disponible (posterior a 8.6.7) para mitigar la vulnerabilidad de ejecución arbitraria de shortcodes. Verifique el changelog del tema en el sitio web del desarrollador para obtener instrucciones específicas de actualización. Considere utilizar un plugin de seguridad de WordPress para ayudar a detectar y prevenir exploits.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-8105 is a high-severity vulnerability in the Soledad WordPress theme allowing unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation.
If you are using the Soledad WordPress theme version 0.0.0 through 8.6.7, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade to the latest patched version of the Soledad WordPress theme. If upgrading is not immediately possible, consider temporarily disabling shortcode functionality.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for active campaigns. Monitor your WordPress site closely.
Refer to the official Soledad theme developer's website or WordPress plugin repository for the latest advisory and patch information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.