Fonte:

O tema JobMonster, do WordPress, apresentou uma vulnerabilidade considerada crítica para a plataforma de hospedagem de sites: usada por mais de 5.500 clientes, a temática premium permitia o acesso completo de hackers às contas de administrador dos websites. Uma onda de ataques por esse vetor foi identificada na última segunda-feira (3) pela empresa de segurança Wordfence. O que é WordPress? Tudo sobre o sistema de gerenciamento de sites O que é uma vulnerabilidade de dia zero (Zero-Day)? A falha foi identificada como CVE-2025-5397, de gravidade considerada crítica, pontuação 9.8. O problema está na função check_login(): segundo os pesquisadores, ela não verifica adequadamente a identidade do usuário que a acessa durante a autenticação, permitindo entrar em contas de administrador e controlar todo o site com facilidade. Invasão pelo tema JobMonsterz A falha é bastante preocupante para usuários do JobMonster, mas depende de uma condição específica para poder ser explorada: o site precisa ter a função de login social ativada, ou seja, a opção do usuário se autenticar através de Google, Facebook, LinkedIn ou outras redes. O tema confiava nos dados de login fornecidos por serviços externos sem verificação, permitindo falsificar a identidade. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Criado pela NooThemes, o JobMonster é bastante usado para sites de emprego, recrutamento e ferramentas de pesquisa de candidatos (Imagem: JobMonster/Divulgação) Para tal, o hacker também precisava saber o nome de usuário ou e-mail da conta de administrador a ser usada para a invasão. A vulnerabilidade já foi corrigida na última versão do tema, JobMonster 4.8.2. É extremamente recomendado a todos os que usam o tema que atualizem imediatamente, ou, na impossibilidade de fazê-lo, desativem a função de login social em seus websites. Vale, também, ativar a autenticação por dois ou mais fatores em todas as contas de administrador, trocar as senhas e verificar os registros de acesso em busca de atividades suspeitas. O WordPress viu a exploração de muitos de seus temas premium nos últimos meses: semana passada, a Wordfence também registrou ataques ao Freeio por meio da vulnerabilidade CVE-2025-11533, e, anteriormente, ao Service Finder, por meio da CVE-2025-5947. Em julho, o tema Alone permitia a execução de código remoto, e teve 120.000 tentativas de atividade maliciosa bloqueadas pela Wordfence. Confira mais: Estão te "ouvindo": estes apps falsos no Android gravam suas conversas e chamada IA de segurança do Google, "Big Sleep" descobre 5 vulnerabilidades no Safari Bug de 10 anos no Linux "ressuscita" e é usado em ataques de ransomware VÍDEO | Medium, o "WordPress moderno"   Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.