# CVE-2025-64328 > [!high] SQL Injection no WP Automatic Plugin - RCE em Sites WordPress > Injeção SQL crítica no plugin WP Automatic para WordPress (mais de 30.000 instalações) permite que atacantes com privilégios de administrador obtenham execução de código remoto. Ambientes WordPress mal configurados com credenciais de admin fracas são especialmente vulneráveis. ## Visão Geral [[cve-2025-64328|CVE-2025-64328]] é uma vulnerabilidade de injeção SQL no plugin WP Automatic para WordPress, utilizado por mais de 30.000 sites para automação de postagem de conteúdo. A falha permite que um atacante com privilégios de administrador WordPress construa queries SQL maliciosas que podem resultar em execução de código no servidor, exfiltração de dados do banco de dados e comprometimento completo do site. Embora a vulnerabilidade exija autenticação de administrador como pré-requisito, o contexto prático é preocupante: ataques de credential stuffing, phishing direcionado e senhas fracas são comuns em instalações WordPress, especialmente em pequenas e médias empresas que não têm equipes de segurança dedicadas. Uma vez com acesso admin obtido por outros meios, esta vulnerabilidade escala para comprometimento total do servidor. O WordPress representa aproximadamente 43% de todos os sites na internet, com presença massiva em empresas e instituições brasileiras e latino-americanas. Plugins com base de instalação de dezenas de milhares de sites são alvos prioritários para operadores de botnets e grupos de crime cibernético que realizam ataques em massa. > [!latam] Relevância LATAM > Sites WordPress brasileiros usando WP Automatic devem atualizar o plugin imediatamente para versão 3.95.0 ou superior. O ecossistema WordPress é extensamente explorado por grupos de cibercrime brasileiros para comprometimento em massa de sites, deface e distribuição de malware. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | SQL Injection (CWE-89) | | Componente | WP Automatic Plugin para WordPress | | Pré-requisito | Autenticação de administrador WordPress | | Impacto | RCE, exfiltração de DB, comprometimento total | | Instalações afetadas | ~30.000+ | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de aplicação web WordPress - [[t1059-007-javascript|T1059.007]] - Execução de scripts maliciosos no servidor - [[t1505-003-web-shell|T1505.003]] - Implantação de webshell pós-exploração - [[t1078-valid-accounts|T1078]] - Uso de credenciais admin comprometidas ## Detecção e Defesa **Mitigação primária:** Atualizar WP Automatic para versão 3.95.0 ou superior via painel WordPress. **Medidas adicionais:** - Implementar MFA para contas de administrador WordPress - Auditar usuários admin do WordPress - remover contas desnecessárias - Monitorar queries SQL anômalas nos logs do banco de dados **Mitigações estruturais:** - [[m1051-update-software|M1051]] - Manter todos os plugins WordPress atualizados - [[m1026-privileged-account-management|M1026]] - Princípio de menor privilégio em WordPress - [[m1042-disable-or-remove-feature-or-program|M1042]] - Remover plugins não utilizados ## Referências - [WPScan - CVE-2025-64328](https://wpscan.com/vulnerability) - [Wordfence Threat Intelligence](https://www.wordfence.com/threat-intel) - [Patchstack WordPress Security](https://patchstack.com)