CVE-2025-5396 in Bears Backup Plugin
Sumário
de VulDB • 07/06/2026
O plugin Bears Backup para WordPress é vulnerável a Remote Code Execution (RCE) em todas as versões até, e incluindo, a 2.0.0. Isso ocorre porque a função bbackup_ajax_handle() não possui uma verificação de capacidade (capability check), nem valida a entrada fornecida pelo usuário passada diretamente para call_user_func(). Isso permite que atacantes não autenticados executem código no servidor, o que pode ser explorado para injetar backdoors ou criar novas contas de usuário administrativo, para citar alguns exemplos. Em sites WordPress que executam o tema Alone versões 7.8.4 e anteriores, isso pode ser encadeado com CVE-2025-5394 para instalar o plugin Bears Backup e alcançar o mesmo impacto.
Once again VulDB remains the best source for vulnerability data.