Uma falha crítica de segurança foi identificada no plugin Kubio AI Page Builder para WordPress, utilizado por mais de 90 mil sites. A vulnerabilidade, catalogada como CVE-2025-2294, permite a execução remota de arquivos no servidor por meio de uma falha de inclusão local de arquivos (Local File Inclusion – LFI), mesmo sem autenticação. O Kubio é um construtor de páginas visual que expande o editor de blocos do WordPress, oferecendo novos componentes e opções de estilo, especialmente útil para usuários sem conhecimento técnico. Porém, versões do plugin até a 2.5.1 estão expostas a ataques.

A falha foi descoberta pelo pesquisador mikemyers e está localizada na função kubio_hybrid_theme_load_template. Ao explorar a vulnerabilidade, um invasor pode forçar o carregamento de arquivos arbitrários no servidor, executando qualquer código PHP presente neles. Isso permite desde o bypass de controles de acesso, acesso a dados confidenciais, até execução de código malicioso, principalmente se o atacante conseguir enviar arquivos aparentemente inofensivos, como imagens.

A vulnerabilidade recebeu pontuação CVSS 9.8, indicando severidade crítica e alto risco de exploração em massa, com potencial de comprometimento completo do site. A versão 2.5.2 do plugin corrige a falha. Administradores de sites que utilizam o Kubio devem atualizar imediatamente para essa versão ou superior. Adiar a atualização pode deixar o site vulnerável a invasões, roubo de dados e instalação de backdoors. Além da atualização, é recomendado revisar logs recentes em busca de atividades suspeitas, especialmente tentativas de inclusão de arquivos ou uploads incomuns. Ferramentas de segurança para WordPress, como firewalls de aplicações web (WAF), também podem ajudar a bloquear tentativas de exploração, mesmo após a vulnerabilidade ser tornada pública.