Uma vulnerabilidade crítica no plugin Chaty Pro para WordPress, identificada como CVE-2025-26776, recebeu a pontuação máxima de 10,0 no CVSS, permitindo que invasores não autenticados carreguem arquivos arbitrários, o que pode levar à tomada total do controle do site. A falha, descoberta por pesquisadores de segurança, afeta todas as versões até a 3.3.3, e foi corrigida na versão 3.3.4.
O Chaty Pro é um plugin popular do WordPress que permite adicionar widgets de chat para diferentes plataformas, como WhatsApp, Facebook Messenger e Telegram. No entanto, a falha descoberta reside em um endpoint inseguro do plugin, que permite o upload de arquivos sem qualquer verificação ou autenticação.
Isso significa que um atacante pode fazer upload de scripts maliciosos (como shells PHP) diretamente para o servidor do WordPress, obtendo acesso remoto e controle total do site comprometido.
Como essa vulnerabilidade permite execução remota de código (RCE), os atacantes podem:
O desenvolvedor do plugin lançou a versão 3.3.4, que corrige essa falha. Administradores de sites WordPress que utilizam o Chaty Pro devem atualizar imediatamente para a versão mais recente.
Administradores que suspeitam que seus sites foram comprometidos devem realizar uma auditoria completa e, se necessário, restaurar backups seguros anteriores ao ataque.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…