Uma vulnerabilidade de alta gravidade no popular plugin UiCore Elements — instalado em mais de 40.000 sites WordPress — permite que invasores leiam arquivos sensíveis do servidor, incluindo o wp-config.php, sem precisar de senha. Com acesso ao wp-config.php, um atacante consegue as credenciais do banco de dados e as chaves de segurança, abrindo caminho para tomar o controle completo do site. Este é um alerta de ação imediata: atualize seus plugins agora.
A falha: como um atacante poderia acessar seus arquivos
O problema no UiCore Elements <= 1.3.0 está em uma verificação de permissão ausente na rota REST que prepara a importação de templates. Na prática, a função foi exposta ao público (sem checagem de capacidades), o que permite que qualquer pessoa dispare o fluxo de importação.
Essa cadeia leva, no fim, à possibilidade de leitura arbitrária de arquivos no servidor — inclusive o wp-config.php — caracterizando a falha rastreada como CVE-2025-6253 (gravidade 7.5 – High). A versão 1.3.1 do UiCore Elements corrige o problema ao exigir permissão administrativa antes de permitir o uso do endpoint.
Uma falha em cascata: a conexão com o Elementor
A investigação mostrou que a exploração no UiCore Elements dependia de um comportamento inseguro no Elementor. O componente de importação de imagens do Elementor <= 3.30.2 não validava adequadamente a origem do arquivo durante a importação, o que viabilizava copiar conteúdos arbitrários sob a aparência de imagens. Esse ponto foi corrigido no Elementor 3.30.3, adicionando a checagem de que o arquivo é, de fato, um upload legítimo. A vulnerabilidade no Elementor foi catalogada como CVE-2025-8081 (gravidade 4.9 – Medium).
Em outras palavras: o UiCore Elements expôs a porta (falta de permissão) e o Elementor deixou a janela aberta (validação insuficiente). Juntas, as duas falhas criaram um vetor que, na prática, permitia a leitura de arquivos sensíveis sem autenticação.
Ação necessária: atualize agora
Atualize imediatamente para se proteger:
- UiCore Elements: versões vulneráveis <= 1.3.0 → atualize para 1.3.1 (corrigido).
- Elementor: versões vulneráveis <= 3.30.2 → atualize para 3.30.3 (corrigido).
Se você administra múltiplos sites, priorize aqueles com UiCore Elements instalado e verifique também a versão do Elementor. Após atualizar, revise os logs e altere as credenciais do banco caso suspeite de acesso indevido.
Usuários do firewall da Wordfence tiveram regras de proteção antecipadas (Premium/Care/Response em 18 de junho; versão gratuita em 18 de julho), mas a atualização dos plugins continua obrigatória para eliminar o vetor de ataque no seu ambiente.
Crédito e resposta rápida: ecossistema funcionando
A falha foi descoberta pelo pesquisador Mikemyers por meio do Wordfence Bug Bounty Program, que pagou uma recompensa de US$ 617. A equipe da UICORE demonstrou boa prática de resposta a incidentes, publicando o patch do UiCore Elements no mesmo dia em que recebeu os detalhes completos. Em paralelo, a equipe do Elementor lançou a correção subsequente, eliminando a causa subjacente na importação de imagens.
Por que isso importa para você
Casos como este mostram como uma “falha em cascata” pode emergir quando plugins interagem. Um endpoint sem permissão (UiCore) combinado com validação insuficiente de arquivo (Elementor) resultou em exposição de dados. Manter todos os componentes atualizados — e operar com um WAF ativo — é o que separa um incidente evitado de um vazamento crítico.
