Plataforma
wordpress
Componente
wp-job-portal
Corrigido em
2.5.0
CVE-2026-4758 é uma vulnerabilidade de Execução Remota de Código (RCE) no plugin WP Job Portal para WordPress. A falha permite que atacantes autenticados, com acesso de nível de assinante ou superior, excluam arquivos arbitrários no servidor devido à validação insuficiente do caminho do arquivo. A exploração bem-sucedida pode levar à execução remota de código. Afeta versões até 2.4.9, e foi corrigida na versão 2.5.0.
O plugin WP Job Portal para WordPress apresenta uma vulnerabilidade crítica de eliminação arbitrária de arquivos. Esta falha, identificada como CVE-2026-4758, deve-se a uma validação insuficiente dos caminhos de arquivo na função WPJOBPORTALcustomfields::removeFileCustom. Um atacante autenticado, com permissões de Assinante ou superiores, pode explorar esta vulnerabilidade para eliminar arquivos arbitrários no servidor. Isso pode facilmente levar à execução remota de código (RCE) se arquivos críticos, como wp-config.php, forem eliminados. A vulnerabilidade afeta todas as versões até e incluindo a 2.4.9, tornando a ação imediata crucial para mitigar o risco. O potencial de comprometer completamente o website é significativo, destacando a gravidade deste problema.
Um atacante com acesso de Assinante ou superior pode explorar esta vulnerabilidade criando solicitações maliciosas para manipular a função WPJOBPORTALcustomfields::removeFileCustom e especificar caminhos de arquivo arbitrários para eliminação. A falta de validação adequada do caminho permite que o atacante ignore as proteções de segurança e elimine arquivos críticos. Eliminar wp-config.php é particularmente perigoso, pois contém credenciais sensíveis do banco de dados, potencialmente concedendo ao atacante acesso total ao website e permitindo a execução remota de código. A relativa facilidade de exploração combinada com o alto potencial de impacto torna este um problema de segurança sério.
Status do Exploit
EPSS
0.28% (percentil 51%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-4758 é atualizar o plugin WP Job Portal para a versão 2.5.0 ou posterior. Esta versão inclui uma correção para o problema de validação do caminho do arquivo, prevenindo a eliminação não autorizada de arquivos. Como medida temporária, restrinja as permissões para usuários com o papel de Assinante ou superior para limitar sua capacidade de realizar ações sensíveis. Monitorar regularmente os logs do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a tentativas de exploração. Atualizar o plugin é a solução mais eficaz e recomendada para abordar esta vulnerabilidade.
Atualize para a versão 2.5.0, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de segurança no plugin WP Job Portal que permite a eliminação arbitrária de arquivos.
Todas as versões até e incluindo a 2.4.9 são vulneráveis a esta vulnerabilidade.
Atualize o plugin WP Job Portal para a versão 2.5.0 ou posterior.
Restrinja as permissões para usuários com o papel de Assinante ou superior e monitore os logs do servidor.
Se você suspeitar que seu website foi comprometido, realize uma auditoria de segurança completa e considere restaurar a partir de um backup limpo.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.