Uma vulnerabilidade crítica no plugin Chaty Pro para WordPress, identificada como CVE-2025-26776, recebeu a pontuação máxima de 10,0 no CVSS, permitindo que invasores não autenticados carreguem arquivos arbitrários, o que pode levar à tomada total do controle do site. A falha, descoberta por pesquisadores de segurança, afeta todas as versões até a 3.3.3, e foi corrigida na versão 3.3.4.
O Chaty Pro é um plugin popular do WordPress que permite adicionar widgets de chat para diferentes plataformas, como WhatsApp, Facebook Messenger e Telegram. No entanto, a falha descoberta reside em um endpoint inseguro do plugin, que permite o upload de arquivos sem qualquer verificação ou autenticação.
Isso significa que um atacante pode fazer upload de scripts maliciosos (como shells PHP) diretamente para o servidor do WordPress, obtendo acesso remoto e controle total do site comprometido.
Como essa vulnerabilidade permite execução remota de código (RCE), os atacantes podem:
O desenvolvedor do plugin lançou a versão 3.3.4, que corrige essa falha. Administradores de sites WordPress que utilizam o Chaty Pro devem atualizar imediatamente para a versão mais recente.
Administradores que suspeitam que seus sites foram comprometidos devem realizar uma auditoria completa e, se necessário, restaurar backups seguros anteriores ao ataque.
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…