Alerta vermelho para usuários do WordPress

Se você usa o tema JobMonster no seu site WordPress, é hora de correr para atualizar. Uma falha crítica identificada como CVE-2025-5397 permitiu que hackers assumissem o controle completo de sites que tinham o login social ativado, ou seja, aqueles que permitem entrar com Google, Facebook ou LinkedIn. A gravidade é tão alta que recebeu pontuação 9.8, considerada crítica.

Como a vulnerabilidade funciona

O problema estava na função checklogin, ela não verificava corretamente se quem acessava era realmente o usuário legítimo. Com isso, bastava ao invasor conhecer o e-mail ou nome de usuário do administrador para controlar todo o site. Imagine só o risco: todo o conteúdo, cadastros e dados sensíveis ficam expostos em um piscar de olhos.

Atualize agora ou desligue o login social

A versão corrigida, JobMonster 4.8.2, já está disponível. Quem não puder atualizar imediatamente deve desativar o login social e reforçar a segurança: senhas novas, autenticação em dois ou mais fatores e monitoramento de registros de acesso são medidas essenciais.

Um alerta que vale para todos

Nos últimos meses, o WordPress viu outros temas premium sendo atacados: Freeio, Service Finder e Alone também tiveram vulnerabilidades exploradas, algumas com milhares de tentativas de invasão. A lição é clara: não adianta relaxar na segurança. Atualizações frequentes e atenção aos alertas são a melhor forma de proteger seu site e seus usuários.

Se você ainda não atualizou, este é o momento. Cada minuto conta quando o risco é tão grande.