Uma vulnerabilidade crítica, identificada como CVE-2025-11749, foi descoberta no plugin AI Engine do WordPress, que está ativo em mais de 100 mil sites. Com uma pontuação CVSS de 9.8, a falha permite que atacantes não autenticados recuperem um token de acesso exposto da API REST MCP, concedendo-lhes privilégios administrativos completos nos sites afetados. O problema foi relatado por Emiliano Versini através do programa de recompensas da Wordfence em 4 de outubro de 2025 e corrigido pelo desenvolvedor Jordy Meow na versão 3.1.4, lançada em 19 de outubro de 2025. A vulnerabilidade reside na integração do plugin com o Modelo de Contexto de Protocolo (MCP), que permite que sistemas de IA interajam com o WordPress. As versões até 3.1.3 não incluíram o parâmetro “show_in_index => false” durante o registro da rota REST, expondo endpoints visíveis publicamente. Os proprietários de sites afetados devem atualizar para a versão 3.1.4 ou superior e rotacionar imediatamente o token de acesso MCP para evitar acessos não autorizados.
Fonte: https://cyberpress.org/privilege-escalation-wordpress-plugin/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
05/11/2025 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade de Escalação de Privilégios em Plugin WordPress Atinge 100 mil Sites
RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-11749 no plugin AI Engine do WordPress representa um risco crítico, permitindo que atacantes não autenticados obtenham privilégios administrativos. A correção foi disponibilizada, mas a necessidade de ações imediatas para proteger os sites afetados é essencial.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos potenciais associados a danos de reputação e recuperação de dados.
Operacional
Possibilidade de instalação de backdoors, alteração de conteúdo e comprometimento da integridade do WordPress.
Setores vulneráveis
['Setor de e-commerce', 'Setor educacional', 'Blogs e publicações online']
📊 INDICADORES CHAVE
Mais de 100 mil sites afetados.
Indicador
Pontuação CVSS de 9.8 (Crítica).
Contexto BR
Recompensa de $2,145 para o pesquisador.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o plugin AI Engine está instalado e qual versão está em uso.
2
Atualizar para a versão 3.1.4 ou superior e rotacionar o token de acesso MCP.
3
Monitorar tentativas de acesso não autorizado e atividades suspeitas nos sites.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas plataformas WordPress, especialmente devido ao alto número de sites afetados e ao potencial de exploração.
⚖️ COMPLIANCE
Implicações diretas na LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
