Uma vulnerabilidade crítica foi descoberta no plugin HUSKY – Products Filter Professional for WooCommerce, utilizado em sites WordPress para filtrar produtos em lojas WooCommerce. A falha, identificada como CVE-2025-1661, permite a inclusão de arquivos locais (Local File Inclusion – LFI) sem autenticação, colocando sites em risco de execução de código arbitrário, vazamento de dados sensíveis e bypass de controles de acesso. A versão afetada é a 1.3.6.5 e anteriores. A correção foi implementada na versão 1.3.6.6.
O que é Local File Inclusion (LFI)?
Local File Inclusion é uma vulnerabilidade que permite a um invasor incluir arquivos locais no servidor, muitas vezes levando à execução de código malicioso. No caso do plugin HUSKY, o problema ocorre no parâmetro ‘template’ da ação AJAX woof_text_search, permitindo que atacantes não autenticados explorem a falha.
Impacto da Vulnerabilidade:
- Execução de Código Remoto (RCE): A vulnerabilidade pode ser usada para executar código PHP no servidor.
- Vazamento de Dados Sensíveis: Arquivos de configuração e outros dados críticos podem ser acessados.
- Bypass de Controles de Acesso: Ataques podem contornar medidas de segurança existentes.
Como se Proteger?
Se você utiliza o plugin HUSKY – Products Filter Professional for WooCommerce, atualize imediatamente para a versão 1.3.6.6 ou superior. A atualização corrige a vulnerabilidade e protege seu site contra possíveis explorações.
Passos para Atualização:
- Acesse o painel administrativo do WordPress.
- Navegue até Plugins > Plugins Instalados.
- Localize o plugin HUSKY – Products Filter Professional for WooCommerce.
- Clique em Atualizar Agora se uma atualização estiver disponível.
Conclusão:
Manter seus plugins atualizados é essencial para a segurança do seu site. A vulnerabilidade CVE-2025-1661 é crítica e pode ter consequências graves se não for corrigida. Não deixe de atualizar o plugin e verificar regularmente se há novas versões de segurança disponíveis.
