Plataforma
wordpress
Componente
mtcaptcha
Corrigido em
2.7.3
A vulnerabilidade CVE-2025-13520 afeta o plugin MTCaptcha para WordPress, permitindo ataques de Cross-Site Request Forgery (CSRF). Essa falha permite que atacantes não autenticados modifiquem as configurações do plugin, potencialmente comprometendo informações sensíveis. As versões afetadas são de 0.0.0 até 2.7.2, sendo a correção disponível na versão 2.7.3.
Um atacante pode explorar essa vulnerabilidade para modificar as configurações do plugin MTCaptcha sem a necessidade de autenticação. Isso inclui a alteração da chave privada, que pode ser usada para fins maliciosos, como o envio de spam ou a manipulação de dados. O ataque é realizado através da criação de uma requisição forjada que, se executada por um administrador do site, altera as configurações do plugin. A falta de validação adequada de tokens nonce torna o plugin suscetível a esse tipo de ataque, permitindo que um atacante controle o comportamento do plugin e potencialmente comprometa a integridade do site.
A vulnerabilidade foi divulgada em 2026-01-07. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities). A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco imediato, mas a natureza da vulnerabilidade CSRF a torna potencialmente explorável.
Websites utilizing the MTCaptcha WordPress plugin, particularly those with shared hosting environments where multiple administrators may have access. Legacy systems running older WordPress installations are also at increased risk, as they may not be regularly updated with the latest security patches.
• wordpress / composer / npm:
grep -r 'MTCaptcha/includes/settings.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep MTCaptcha• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for version 2.7.3 or higher.
disclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin MTCaptcha para a versão 2.7.3 ou superior, que corrige a vulnerabilidade CSRF. Como uma medida temporária, é possível restringir o acesso às páginas de configuração do plugin, limitando o acesso apenas a usuários autenticados com privilégios administrativos. Implementar uma WAF (Web Application Firewall) com regras para detectar e bloquear requisições CSRF também pode ajudar a mitigar o risco. Verifique se o plugin está configurado com as permissões mínimas necessárias para sua funcionalidade.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13520 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin MTCaptcha para WordPress, permitindo que atacantes não autenticados modifiquem as configurações do plugin.
Sim, se você estiver usando o plugin MTCaptcha em versões de 0.0.0 a 2.7.2, você está afetado por essa vulnerabilidade.
Atualize o plugin MTCaptcha para a versão 2.7.3 ou superior para corrigir a vulnerabilidade.
Atualmente, não há informações disponíveis sobre exploração ativa dessa vulnerabilidade, mas a natureza do CSRF a torna potencialmente explorável.
Verifique o site oficial do MTCaptcha ou o repositório do plugin no WordPress.org para obter informações adicionais e o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.