No dia 29 de março de 2025, foi descoberta uma vulnerabilidade crítica de execução remota de código (RCE) no plugin UiPress lite, utilizado em mais de 10.000 sites WordPress ativos. A falha permite que usuários autenticados com nível de assinante ou superior executem código arbitrário no servidor, o que pode levar a comprometimento total do site, inclusão de backdoors, injeção de spam, redirecionamentos maliciosos, entre outros riscos.
A vulnerabilidade, registrada sob o CVE-2025-3053, foi relatada por pesquisadores do TIANGONG Team e por cynau1t via o Wordfence Bug Bounty Program, que pagou uma recompensa de US$ 430,00 pelo relatório responsável.
Proteção já disponível e patch lançado
- 31/03/2025: usuários do Wordfence Premium, Care e Response receberam regras de firewall para bloquear a exploração.
- 30/04/2025: proteção liberada para usuários da versão gratuita do Wordfence.
- 13/05/2025: desenvolvedor lançou a versão 3.5.08, que corrige a falha.
Usuários do plugin devem atualizar imediatamente para a versão 3.5.08 para garantir a segurança de seus sites.
Detalhes técnicos da vulnerabilidade UiPress lite WordPress
- Plugin afetado: UiPress lite – Effortless custom dashboards, admin themes and pages
- Versões afetadas: ? 3.5.07
- Função vulnerável:
uip_process_form_input() - Tipo de falha: Remote Code Execution (RCE)
- Nível de gravidade (CVSS): 8.8 (Alta)
- CVE-ID: CVE-2025-3053
A falha ocorre porque o plugin permite que funções PHP arbitrárias sejam executadas a partir de parâmetros enviados pelo usuário, sem nenhuma verificação de permissão adequada. Por exemplo, um atacante pode usar a função wp_update_user() para elevar seu próprio privilégio a administrador.
O que fazer agora?
- Atualize o plugin UiPress lite para a versão 3.5.08 imediatamente.
- Verifique se seu firewall Wordfence está ativo e atualizado.
- Compartilhe este alerta com outros administradores de sites WordPress que possam usar o plugin.
- Considere ativar o modo de manutenção e revisar seus usuários e logs em busca de atividades suspeitas.
