Uma vulnerabilidade crítica no plugin Chaty Pro para WordPress, identificada como CVE-2025-26776, recebeu a pontuação máxima de 10,0 no CVSS, permitindo que invasores não autenticados carreguem arquivos arbitrários, o que pode levar à tomada total do controle do site. A falha, descoberta por pesquisadores de segurança, afeta todas as versões até a 3.3.3, e foi corrigida na versão 3.3.4.
O Chaty Pro é um plugin popular do WordPress que permite adicionar widgets de chat para diferentes plataformas, como WhatsApp, Facebook Messenger e Telegram. No entanto, a falha descoberta reside em um endpoint inseguro do plugin, que permite o upload de arquivos sem qualquer verificação ou autenticação.
Isso significa que um atacante pode fazer upload de scripts maliciosos (como shells PHP) diretamente para o servidor do WordPress, obtendo acesso remoto e controle total do site comprometido.
Como essa vulnerabilidade permite execução remota de código (RCE), os atacantes podem:
O desenvolvedor do plugin lançou a versão 3.3.4, que corrige essa falha. Administradores de sites WordPress que utilizam o Chaty Pro devem atualizar imediatamente para a versão mais recente.
Administradores que suspeitam que seus sites foram comprometidos devem realizar uma auditoria completa e, se necessário, restaurar backups seguros anteriores ao ataque.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…