Se utiliza o popular tema JobMonster no seu site WordPress, é altura de parar tudo e atualizar. A empresa de segurança Wordfence detetou uma vaga de ataques nas últimas 24 horas que explora uma falha crítica neste tema, permitindo a hackers tomar controlo de contas de administrador.
O JobMonster, criado pela NooThemes e com mais de 5.500 vendas, é um tema premium muito utilizado para portais de emprego, sites de recrutamento e ferramentas de pesquisa de candidatos.
A falha que dá acesso total
A vulnerabilidade em questão está identificada como CVE-2025-5397 e recebeu uma pontuação de gravidade crítica de 9.8 (em 10). O problema reside numa função específica (check_login()) que, segundo a descrição da falha, "não verifica adequadamente a identidade de um utilizador antes de o autenticar com sucesso".
Isto torna possível que atacantes não autenticados contornem os métodos de autenticação padrão e acedam a contas administrativas, assumindo o controlo do site.
A condição que ativa o ataque
A exploração desta falha não é universal e depende de uma condição muito específica: o site tem de ter a funcionalidade de "login social" ativa (as opções como "Login com Google", "Entrar com Facebook" ou "Continuar com LinkedIn").
O tema JobMonster confia cegamente nos dados de login fornecidos por estes serviços externos sem os verificar corretamente. Isto permite que um atacante, sem precisar de credenciais válidas, consiga falsificar o acesso e entrar como administrador. Tipicamente, o atacante precisará também de saber o nome de utilizador ou o email da conta de administrador que pretende visar.
Como proteger o seu site
A correção já está disponível e foi implementada na versão 4.8.2 do JobMonster, que é atualmente a mais recente. Os utilizadores são aconselhados a atualizar imediatamente.
Se, por algum motivo, a atualização urgente não for viável, a Wordfence recomenda como mitigação temporária desativar a função de login social nos sites afetados.
Adicionalmente, é sempre aconselhável ativar a autenticação de dois fatores (2FA) para todas as contas de administrador, fazer uma rotação das credenciais (mudar passwords) e verificar os registos de acesso à procura de qualquer atividade suspeita.
Temas WordPress continuam na mira
Os temas premium do WordPress têm estado no epicentro de atividade maliciosa nos últimos meses. Na semana passada, a Wordfence reportou ataques semelhantes ao tema Freeio (explorando o CVE-2025-11533). No início de outubro, foi a vez do tema Service Finder (CVE-2025-5947), que também sofria de um bypass de autenticação.
Em julho de 2025, foi reportado que hackers visaram o tema 'Alone' para executar código remotamente, com a Wordfence a bloquear mais de 120.000 tentativas na altura. Este padrão reforça a necessidade de manter temas e plugins do WordPress rigorosamente atualizados, pois adiar a aplicação de patches dá aos hackers a janela de oportunidade de que precisam.
Nenhum comentário
Seja o primeiro!