CVE-2026-7619: SQL Injection em Charitable WordPress Plugin
Plataforma
wordpress
Componente
charitable
Corrigido em
1.8.10.5
A vulnerabilidade CVE-2026-7619 é uma falha de SQL Injection descoberta no plugin Charitable – Donation Plugin for WordPress. Atacantes autenticados com permissões de gerenciamento de doações podem injetar consultas SQL adicionais, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões do plugin até 1.8.10.4, sendo corrigida na versão 1.8.10.5.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
Um atacante explorando esta vulnerabilidade pode injetar código SQL malicioso através do parâmetro 's'. Com acesso à área de administração de gerenciamento de doações (requerendo a capacidade editothersdonations), o atacante pode extrair dados sensíveis do banco de dados, como informações de doadores, detalhes de transações e dados de configuração do plugin. A exploração bem-sucedida pode levar à exfiltração de dados, modificação de registros e até mesmo à tomada de controle do site WordPress. Embora a necessidade de autenticação limite o escopo inicial, a obtenção dessas credenciais pode permitir o acesso a informações confidenciais e a escalada de privilégios.
Contexto de Exploração
A vulnerabilidade CVE-2026-7619 foi publicada em 2026-05-12. A probabilidade de exploração é considerada média, dada a necessidade de autenticação. Não há relatos públicos de campanhas ativas explorando esta vulnerabilidade no momento da publicação, mas a facilidade de exploração e a popularidade do plugin Charitable tornam a vulnerabilidade um alvo potencial. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) da CISA.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
Mitigação e Soluções Alternativas
A correção primária é atualizar o plugin Charitable para a versão 1.8.10.5 ou superior. Se a atualização imediata não for possível, implemente medidas de mitigação temporárias. Configure um Web Application Firewall (WAF) para detectar e bloquear tentativas de injeção SQL no parâmetro 's'. Valide e sanitize rigorosamente todas as entradas do usuário, especialmente aquelas que são usadas em consultas SQL. Monitore os logs do WordPress e do banco de dados em busca de padrões suspeitos de injeção SQL. Após a atualização, confirme a correção executando testes de penetração ou utilizando ferramentas de análise de segurança para verificar se a vulnerabilidade foi efetivamente eliminada.
Como corrigir
Atualize para a versão 1.8.10.5, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2026-7619 — SQL Injection no plugin Charitable WordPress?
CVE-2026-7619 é uma vulnerabilidade de SQL Injection no plugin Charitable para WordPress, permitindo que atacantes autenticados extraiam dados sensíveis do banco de dados. A falha ocorre devido à falta de escaping adequado em um parâmetro de entrada.
Estou afetado pelo CVE-2026-7619 no plugin Charitable WordPress?
Se você estiver usando o plugin Charitable para WordPress em uma versão inferior ou igual a 1.8.10.4, você está potencialmente afetado por esta vulnerabilidade. Verifique a versão do seu plugin imediatamente.
Como corrigir CVE-2026-7619 no plugin Charitable WordPress?
A correção é atualizar o plugin Charitable para a versão 1.8.10.5 ou superior. Se a atualização não for imediata, implemente medidas de mitigação como WAF e validação de entrada.
CVE-2026-7619 está sendo ativamente explorado?
Até o momento da publicação, não há relatos públicos de campanhas ativas explorando esta vulnerabilidade, mas a facilidade de exploração a torna um alvo potencial.
Onde posso encontrar o advisory oficial do plugin Charitable para CVE-2026-7619?
Consulte o site oficial do plugin Charitable ou o repositório WordPress para obter o advisory oficial e as instruções de atualização: [https://downloads.wordpress.org/plugin/charitable](https://downloads.wordpress.org/plugin/charitable)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...