Vulnerabilidade no Plugin Demo Importer Plus do WordPress
Em 27 de novembro de 2025, uma vulnerabilidade foi identificada no plugin Demo Importer Plus, afetando mais de 10.000 sites WordPress. Atualize agora!
10.000 Sites WordPress Protegidos Contra Vulnerabilidades no Plugin Demo Importer Plus
Em 27 de novembro de 2025, recebemos uma notificação sobre uma vulnerabilidade de Site Reset e Escalação de Privilégios no Demo Importer Plus, um plugin do WordPress que conta com mais de 10.000 instalações ativas. Esta vulnerabilidade pode ser explorada para realizar um reset completo do site e atribuir o papel de administrador à conta do atacante.
Reconhecimento ao Pesquisador
Agradecimentos especiais a shark3y, que descobriu e reportou essa vulnerabilidade de forma responsável através do Programa de Recompensas de Bugs do Wordfence. Este pesquisador recebeu uma recompensa de $195,00 pela descoberta. Nossa missão é fortalecer a segurança do WordPress através de uma defesa em várias camadas, investindo em pesquisa de vulnerabilidades e colaborando com pesquisadores de alta qualidade.
Medidas de Proteção Implementadas
Os usuários do Wordfence Premium, Wordfence Care e Wordfence Response receberam uma regra de firewall para proteção contra qualquer exploração direcionada a essa vulnerabilidade em 10 de dezembro de 2025. Os sites que utilizam a versão gratuita do Wordfence receberão a mesma proteção 30 dias depois, em 9 de janeiro de 2026.
Importância da Atualização
Recomendamos a todos os usuários que atualizem seus sites para a versão corrigida do Demo Importer Plus, versão 2.0.9, no momento desta publicação, o mais rápido possível.
Resumo da Vulnerabilidade
Demo Importer Plus <= 2.0.8 – Falta de Autorização para Reset de Site e Escalação de Privilégios
- CVSS Rating: 8.8 (Alto)
- CVE-ID: CVE-2025-14364
- Versões Afetadas: <= 2.0.8
- Versão Corrigida: 2.0.9
- Recompensa: $195,00
O plugin Demo Importer Plus para WordPress é vulnerável a modificações não autorizadas de dados, perda de dados e escalonamento de privilégios devido a uma verificação de capacidade ausente na função Ajax::handle_request() em todas as versões até a 2.0.8. Isso possibilita que atacantes autenticados, com acesso de nível Subscriber e acima, realizem um reset completo do site, eliminando todas as tabelas do banco de dados, exceto users/usermeta e reiniciando o wp_install(), o que também atribui o papel de Administrador à conta do assinante atacado.
Análise Técnica
A análise do código revela que o plugin utiliza a função handle_request() na classe KraftPlugins\DemoImporterPlus\Ajax para gerenciar ações AJAX, incluindo a ação ‘do-reinstall’.
É essencial que os administradores de sites WordPress estejam cientes das vulnerabilidades e tomem medidas proativas para proteger suas instalações. A segurança do WordPress depende da atualização regular dos plugins e da manutenção de boas práticas de segurança.
Considerações Finais
Com mais de 10.000 instalações, a vulnerabilidade no Demo Importer Plus ressalta a importância da segurança na comunidade WordPress. Atualizações regulares e monitoramento de vulnerabilidades são cruciais para garantir a segurança dos sites. Para mais informações sobre como melhorar a segurança do seu site, acesse nossas seções sobre SEO, Criação de Sites e Tráfego Pago.
📰 Fonte Original
Este artigo foi baseado em informações publicadas por Wordfence em 07/01/2026.
🔗 Ler artigo original →
