Plataforma
wordpress
Componente
wp-change-status-notifier
Corrigido em
1.0.1
A vulnerabilidade CVE-2025-13521 é uma falha de Cross-Site Request Forgery (XSRF) identificada no plugin WP Status Notifier para WordPress. Essa falha permite que um atacante não autenticado execute ações em nome de um administrador do site, potencialmente alterando as configurações do plugin. A vulnerabilidade afeta as versões de 1.0.0 a 1.0 do plugin e pode ser mitigada atualizando para uma versão corrigida ou implementando medidas de segurança adicionais.
Um atacante pode explorar essa vulnerabilidade para modificar as configurações do plugin WP Status Notifier sem a necessidade de autenticação. Isso pode levar a alterações não autorizadas no comportamento do plugin, potencialmente comprometendo a segurança e a integridade do site WordPress. O ataque geralmente envolve a criação de uma requisição maliciosa que, ao ser executada por um administrador, altera as configurações do plugin. A gravidade do impacto depende das permissões concedidas ao plugin e da sensibilidade das configurações que podem ser modificadas. A exploração bem-sucedida pode resultar em acesso não autorizado a informações sensíveis ou até mesmo na execução de código malicioso no servidor.
A vulnerabilidade foi divulgada em 2026-01-07. Não há relatos públicos de exploração ativa no momento. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade XSRF a torna potencialmente explorável. A pontuação CVSS de 4.3 (MEDIUM) indica um risco moderado. A inclusão em algum catálogo KEV (Known Exploited Vulnerabilities) ainda não foi confirmada.
WordPress websites utilizing the WP Status Notifier plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable. Legacy WordPress installations with outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'wp_status_notifier_settings_update' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-status-notifier'• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-13521 é atualizar o plugin WP Status Notifier para a versão corrigida, assim que disponível. Enquanto aguarda a atualização, é possível implementar medidas de proteção adicionais, como a ativação da autenticação de dois fatores (2FA) para todos os administradores do site WordPress. Além disso, a implementação de um Web Application Firewall (WAF) pode ajudar a bloquear requisições maliciosas. Verifique se o plugin possui alguma configuração de segurança que possa ser reforçada, como a desativação de funcionalidades desnecessárias. Após a atualização, confirme a correção da vulnerabilidade verificando se as requisições de atualização de configurações exigem autenticação adequada.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13521 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin WP Status Notifier, permitindo que atacantes não autenticados alterem configurações do plugin.
Se você usa o plugin WP Status Notifier nas versões de 1.0.0 a 1.0, você está potencialmente afetado. Verifique a versão instalada e atualize.
A correção primária é atualizar o plugin para a versão mais recente, assim que disponível. Implemente medidas de segurança adicionais como 2FA.
Não há relatos públicos de exploração ativa no momento, mas a vulnerabilidade XSRF é potencialmente explorável.
Verifique o site oficial do plugin WP Status Notifier ou o repositório de plugins do WordPress para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.