Categories: AMEAÇAS ATUAIS

Vulnerabilidade crítica no plugin ChatyPro expõe milhares de sites WordPress

Uma vulnerabilidade crítica no plugin Chaty Pro para WordPress, identificada como CVE-2025-26776, recebeu a pontuação máxima de 10,0 no CVSS, permitindo que invasores não autenticados carreguem arquivos arbitrários, o que pode levar à tomada total do controle do site. A falha, descoberta por pesquisadores de segurança, afeta todas as versões até a 3.3.3, e foi corrigida na versão 3.3.4.

Detalhes da vulnerabilidade

O Chaty Pro é um plugin popular do WordPress que permite adicionar widgets de chat para diferentes plataformas, como WhatsApp, Facebook Messenger e Telegram. No entanto, a falha descoberta reside em um endpoint inseguro do plugin, que permite o upload de arquivos sem qualquer verificação ou autenticação.

Isso significa que um atacante pode fazer upload de scripts maliciosos (como shells PHP) diretamente para o servidor do WordPress, obtendo acesso remoto e controle total do site comprometido.

Impacto

Como essa vulnerabilidade permite execução remota de código (RCE), os atacantes podem:

Modificar conteúdos do site
Criar novos usuários administrativos
Instalar malware
Roubar dados sensíveis dos visitantes
Utilizar o site para espalhar ataques adicionais

Correção e recomendações

O desenvolvedor do plugin lançou a versão 3.3.4, que corrige essa falha. Administradores de sites WordPress que utilizam o Chaty Pro devem atualizar imediatamente para a versão mais recente.

Passos recomendados para proteção:

Atualize o plugin Chaty Pro para a versão 3.3.4 ou superior.
Verifique logs de atividade para identificar possíveis uploads suspeitos.
Remova arquivos desconhecidos do servidor.
Reforce as permissões de arquivos e diretórios.
Use um firewall de aplicação web (WAF) para bloquear acessos indevidos.
Implemente autenticação multifator (MFA) para administradores.

Administradores que suspeitam que seus sites foram comprometidos devem realizar uma auditoria completa e, se necessário, restaurar backups seguros anteriores ao ataque.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.