Control Web Panel

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As falhas são: CVE-2025-11371, com um escore CVSS de 7.5, que permite a divulgação não intencional de arquivos de sistema em Gladinet CentreStack e Triofox; e CVE-2025-48703, com um escore CVSS de 9.0, que possibilita a execução remota de código não autenticado em Control Web Panel (CWP) através de injeção de comandos. A Huntress, empresa de cibersegurança, já detectou tentativas de exploração da CVE-2025-11371, onde atacantes desconhecidos utilizaram comandos de reconhecimento. Embora não haja relatos públicos sobre a exploração da CVE-2025-48703, detalhes técnicos foram divulgados por um pesquisador de segurança após a correção da falha. As agências do governo federal dos EUA devem aplicar correções até 25 de novembro de 2025. Além disso, foram relatadas vulnerabilidades críticas em plugins e temas do WordPress, com recomendações para que usuários atualizem suas versões e adotem boas práticas de segurança.