O tema JobMonster, amplamente utilizado na plataforma WordPress, revelou uma vulnerabilidade crítica que afeta muitos sites, com mais de 5.500 clientes utilizando essa temática premium. Detectada na última segunda-feira (3) pela empresa de segurança Wordfence, essa falha permite que hackers obtenham acesso total às contas de administrador dos websites.
Classificada como CVE-2025-5397, essa vulnerabilidade possui uma gravidade alta, com pontuação 9.8. O problema reside na função check_login(), que, conforme apontaram os pesquisadores, não consegue validar adequadamente a identidade do usuário durante o processo de autenticação, o que possibilita a entrada em contas de administrador e o controle completo do site.
Invasão pelo tema JobMonster
Essa falha é alarmante para os usuários do JobMonster, mas só pode ser explorada sob condições específicas: o site deve ter a função de login social ativada, permitindo que os usuários se autentiquem por meio de plataformas como Google, Facebook, LinkedIn e outras redes. Assim, o tema confia nos dados de login fornecidos por esses serviços externos, sem realizar a devida verificação, possibilitando que um invasor possa falsificar a identidade.
Para realizar a invasão, o hacker precisa também ter conhecimento do nome de usuário ou do e-mail da conta de administrador que deseja acessar. A boa notícia é que essa vulnerabilidade foi corrigida na versão mais recente do tema, a JobMonster 4.8.2.
Assim, é altamente recomendável que todos os usuários do JobMonster atualizem imediatamente para a nova versão. Caso não consigam realizar a atualização, é aconselhável desativar a função de login social em seus sites. Além disso, sugere-se ativar a autenticação em dois ou mais fatores em todas as contas de administrador, realizar a troca das senhas e monitorar os registros de acesso à procura de atividades suspeitas.
