Em junho de 2025, uma falha grave no plugin UiCore Elements, utilizado para criar widgets e modelos no WordPress, colocou em risco mais de 40 mil sites.
O que aconteceu
A vulnerabilidade, identificada como CVE-2025-6253, permitia que invasores não autenticados lessem arquivos arbitrários diretamente no servidor. Isso incluía documentos sensíveis como:
- Arquivo wp-config.php, contendo credenciais de banco de dados
- Chaves e tokens de autenticação
- Configurações críticas do site
Essa falha foi classificada com pontuação CVSS 7.5 (alta severidade).
Origem do problema
A investigação revelou que o endpoint da API REST do plugin, responsável por importar modelos, não realizava verificação de permissões adequadas.
Na prática, qualquer pessoa com acesso à URL poderia explorar a função prepare_template() para acessar informações restritas.
Além disso, parte da vulnerabilidade estava ligada à funcionalidade de importação do plugin Elementor, que também recebeu uma atualização corretiva.
Ações corretivas
O fornecedor corrigiu o problema adicionando verificações de permissão no endpoint da API REST e reforçando a segurança da função de importação de arquivos.
O Elementor, por sua vez, implementou validação extra para garantir que apenas arquivos legítimos sejam processados.
O que isso representa para empresas
Para organizações que utilizam WordPress, esse caso reforça a importância de:
- Manter plugins e temas sempre atualizados
- Implementar camadas adicionais de proteção (como firewall e monitoramento)
- Adotar políticas de segurança proativas para mitigar riscos
Com o cenário de ameaças em constante evolução, vulnerabilidades como essa mostram que tempo de resposta e atualização rápida são cruciais para evitar incidentes.