O plugin Anti-Malware Security and Brute-Force Firewall para WordPress, presente em mais de 100 mil sites, possui uma vulnerabilidade que permite a usuários com privilégios limitados (subscribers) ler qualquer arquivo no servidor, expondo informações sigilosas.
O plugin oferece varredura contra malware, proteção contra ataques de brute-force, exploração de vulnerabilidades conhecidas em plugins e tentativas de injeção no banco de dados.
Identificada como
CVE-2025-11705
, a falha foi reportada à Wordfence pelo pesquisador Dmitrii Ignatyev e afeta as versões 4.23.81 e anteriores do plugin.
O problema ocorre devido à ausência de verificações adequadas de capacidade (capability checks) na função GOTMLS_ajax_scan(), que processa requisições AJAX utilizando um nonce acessível a atacantes.
Essa falha permite que um usuário com baixa permissão, capaz de invocar essa função, realize a leitura arbitrária de arquivos no servidor, incluindo dados sensíveis como o wp-config.php, que contém nome e credenciais do banco de dados.
Com acesso ao banco, o invasor pode extrair hashes de senhas, e-mails de usuários, publicações e outras informações privadas, além das chaves e salts usados na autenticação segura.
Embora a vulnerabilidade não seja classificada como crítica — pois requer autenticação para ser explorada — muitos sites permitem o cadastro de usuários, o que eleva o nível de acesso a áreas como comentários.
Portais que oferecem qualquer tipo de assinatura ou sistema de membros, permitindo a criação de contas, estão particularmente expostos a esse risco.
A Wordfence notificou o desenvolvedor Eli por meio da equipe de segurança do WordPress.org em 14 de outubro, enviando também um exploit comprovado da vulnerabilidade.
No dia seguinte, 15 de outubro, foi lançada a versão 4.23.83 do plugin, que corrige o problema ao incluir uma verificação adequada de capacidade do usuário via a nova função GOTMLS_kill_invalid_user().
Segundo dados do WordPress.org, cerca de 50 mil administradores já baixaram essa atualização, o que indica que outras 50 mil instalações ainda utilizam versões vulneráveis.
Até o momento, a Wordfence não identificou indícios de ataques explorando essa falha no ambiente real, mas aplicar o patch é altamente recomendável para evitar riscos — especialmente após a divulgação pública da vulnerabilidade, que pode atrair a atenção de invasores.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...