A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou nesta terça-feira duas vulnerabilidades que afetam Gladinet e Control Web Panel (CWP) ao seu catálogo Known Exploited Vulnerabilities (KEV), após comprovação de exploração ativa em ambientes reais.
As falhas listadas são:
- **
CVE-2025-11371
** (pontuação CVSS: 7,5) — Uma falha em arquivos ou diretórios acessíveis externamente no Gladinet CentreStack e Triofox, que pode resultar na divulgação inadvertida de arquivos do sistema.
- **CVE-2025-48703** (pontuação CVSS: 9,0) — Vulnerabilidade de injeção de comandos no sistema operacional presente no Control Web Panel (antigo CentOS Web Panel).
Permite execução remota de código sem autenticação por meio de metacaracteres no parâmetro *t_total* em uma requisição *changePerm* do gerenciador de arquivos.
O anúncio ocorre semanas após a empresa de cibersegurança Huntress detectar tentativas ativas de exploração da
CVE-2025-11371
.
Ataques realizados por agentes desconhecidos utilizam a falha para executar comandos de reconhecimento, como `ipconfig /all`, transmitidos em payloads codificados em Base64.
Até o momento, não há registros públicos de exploração ativa da CVE-2025-48703 em ataques reais.
Entretanto, os detalhes técnicos da vulnerabilidade foram divulgados pelo pesquisador Maxime Rinaudo em junho de 2025, pouco depois da correção implementada na versão 0.9.8.1205 do CWP, após divulgação responsável em 13 de maio.
Segundo Rinaudo, a falha “permite que um atacante remoto, com conhecimento de um nome de usuário válido no CWP, execute comandos arbitrários pré-autenticados no servidor”.
Devido à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) têm até 25 de novembro de 2025 para aplicar os patches necessários e proteger suas redes.
A inclusão dessas vulnerabilidades no catálogo KEV segue alertas da Wordfence, que reportou a exploração de falhas críticas em três plugins e temas do WordPress:
- **
CVE-2025-11533
** (CVSS: 9,8) — Vulnerabilidade de escalonamento de privilégios no WP Freeio, permitindo que um atacante não autenticado obtenha privilégios administrativos ao especificar um papel de usuário durante o registro.
- **
CVE-2025-5397
** (CVSS: 9,8) — Vulnerabilidade de bypass de autenticação no Noo JobMonster, possibilitando que atacantes não autenticados ignorem o processo padrão e acessem contas administrativas, caso o login social esteja habilitado.
- **
CVE-2025-11833
** (CVSS: 9,8) — Falta de verificação de autorização no Post SMTP, permitindo que um atacante não autenticado visualize logs de e-mails, incluindo mensagens de redefinição de senha, e altere senhas de qualquer usuário, inclusive administradores, abrindo caminho para a tomada do site.
Usuários do WordPress que utilizam esses plugins e temas devem atualizar imediatamente para as versões mais recentes, adotar senhas fortes e realizar auditorias em seus sites para identificar possíveis malwares ou contas suspeitas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...