Plataforma
wordpress
Componente
web-to-sugarcrm-lead
Corrigido em
1.0.1
O plugin Web to SugarCRM Lead para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (CSRF) em todas as versões até, e incluindo, 1.0.0. Essa falha ocorre devido à falta de validação de nonce na funcionalidade de exclusão de campos personalizados. A vulnerabilidade foi publicada em 21 de dezembro de 2025 e a correção está disponível na versão 1.0.1.
Um atacante pode explorar essa vulnerabilidade CSRF para remover campos personalizados do SugarCRM, mesmo sem autenticação. Isso pode levar à perda de dados importantes e à interrupção do fluxo de trabalho. O ataque requer que o atacante consiga induzir um administrador do site a clicar em um link malicioso, o que pode ser feito através de phishing ou outras técnicas de engenharia social. A remoção de campos personalizados pode impactar a integração entre o WordPress e o SugarCRM, comprometendo a funcionalidade do sistema.
A vulnerabilidade foi divulgada publicamente em 21 de dezembro de 2025. Não há relatos de exploração ativa no momento, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial para ataques. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities). A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração CSRF é relativamente simples de implementar.
Websites utilizing the Web to SugarCRM Lead plugin for WordPress integration, particularly those with shared administrator accounts or those that are frequently targeted by phishing attacks, are at risk. Sites with custom fields critical to their SugarCRM data synchronization are especially vulnerable.
• wordpress / composer / npm:
grep -r 'delete_custom_field' /var/www/wordpress/wp-content/plugins/web-to-sugar-crm-lead/• wordpress / composer / npm:
wp plugin list --status=active | grep 'web-to-sugar-crm-lead'• generic web: Check WordPress plugin directory for updates and security advisories related to the Web to SugarCRM Lead plugin. • generic web: Review WordPress access logs for suspicious POST requests targeting custom field deletion endpoints.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Web to SugarCRM Lead para a versão 1.0.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restringir o acesso à funcionalidade de exclusão de campos personalizados apenas a usuários autenticados com privilégios administrativos. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF. Monitore os logs do WordPress e do SugarCRM em busca de atividades suspeitas.
Atualize para a versão 1.0.1, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Web to SugarCRM Lead para WordPress, permitindo que atacantes removam campos personalizados sem autenticação.
Sim, se você estiver utilizando o plugin Web to SugarCRM Lead em versões anteriores à 1.0.1, você está vulnerável a essa falha.
Atualize o plugin para a versão 1.0.1 ou superior. Se a atualização não for possível, implemente medidas de segurança adicionais, como WAF e restrição de acesso.
Não há relatos de exploração ativa no momento, mas a vulnerabilidade é um alvo potencial devido à sua natureza CSRF.
Verifique o site oficial do plugin Web to SugarCRM Lead ou o repositório do WordPress para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.