Uma vulnerabilidade crítica no plug-in Everest Forms do WordPress pode expor até 100.000 sites a ataques cibernéticos. Especialistas alertam que, caso explorada com sucesso, essa falha permite que invasores executem códigos maliciosos e, em cenários mais graves, assumam completamente o controle das páginas afetadas.
Brecha Identificada e Riscos Envolvidos
A equipe da Wordfence, especializada em segurança digital, emitiu um alerta sobre a vulnerabilidade identificada como CVE-2025-1128. A falha foi reportada por meio do programa de recompensas por bugs da empresa e pode ser explorada remotamente sem a necessidade de autenticação. Os invasores podem utilizar essa brecha para carregar códigos maliciosos e comprometer sites desenvolvidos no WordPress.
O Everest Forms é um plug-in amplamente utilizado, com mais de 100.000 instalações ativas, e é conhecido por facilitar a criação de formulários de contato e outras funcionalidades em sites. De acordo com pesquisadores de segurança, o problema está localizado na classe EVF_Form_Fields-Upload, onde falhas nas verificações de segurança permitem que arquivos indesejados sejam carregados. Isso dá aos atacantes a capacidade de visualizar, modificar e até excluir arquivos dentro do sistema do site.
Consequências Potenciais do Ataque
Caso a falha seja explorada, criminosos digitais podem até mesmo modificar o arquivo wp-config.php, um dos mais sensíveis dentro do sistema WordPress. A partir dessa alteração, torna-se possível tomar posse completa do site.
Até o momento, não há indícios de que essa vulnerabilidade já tenha sido explorada ativamente por hackers. No entanto, devido à gravidade da falha, os administradores de sites devem agir com rapidez para mitigar os riscos.
Atualização de Segurança Disponível
Os especialistas de segurança da Wordfence informaram o desenvolvedor do Everest Forms sobre a vulnerabilidade no início de fevereiro de 2025. Em resposta, foi lançada a atualização Everest Forms 3.0.9.5, que corrige a falha. Todas as versões anteriores permanecem vulneráveis, tornando essencial que administradores de sites realizem a atualização imediatamente.
Para evitar possíveis ataques e garantir a segurança das páginas que utilizam o plug-in, é altamente recomendado que os responsáveis pelos sites verifiquem se estão utilizando a versão mais recente do Everest Forms e implementem boas práticas de segurança digital.
