Plataforma
wordpress
Componente
helpdesk-contact-form
Corrigido em
1.1.6
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin HelpDesk Contact Form para WordPress. Essa falha, presente em versões de 0.0.0 até 1.1.5, permite que atacantes não autenticados alterem as configurações do plugin, como o ID da licença e o ID do formulário de contato, através de requisições forjadas. A atualização para a versão 1.1.6 corrige essa vulnerabilidade, mitigando o risco de acesso não autorizado e modificação de dados.
Um atacante pode explorar essa vulnerabilidade CSRF para modificar as configurações do plugin HelpDesk Contact Form sem a necessidade de autenticação. Isso pode levar à alteração do ID da licença, permitindo o uso indevido do plugin com informações falsas, ou à modificação do ID do formulário de contato, redirecionando as submissões para um destino malicioso. Em cenários mais graves, um atacante com acesso a um site WordPress com essa vulnerabilidade pode comprometer a integridade dos dados coletados através do formulário de contato e potencialmente obter acesso a informações confidenciais. A ausência de validação adequada de nonce na função handlequeryargs() é a raiz do problema.
A vulnerabilidade foi publicada em 2026-01-07. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco de exploração em larga escala, mas a natureza da vulnerabilidade CSRF a torna potencialmente explorável.
WordPress sites utilizing the HelpDesk Contact Form plugin, particularly those with shared hosting environments or where administrators are routinely tricked into clicking on links from untrusted sources, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'handle_query_args' /var/www/html/wp-content/plugins/helpdesk-contact-form/• wordpress / composer / npm:
wp plugin list --status=all | grep 'helpdesk-contact-form'• wordpress / composer / npm:
wp plugin update helpdesk-contact-form --alldisclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para essa vulnerabilidade é a atualização imediata do plugin HelpDesk Contact Form para a versão 1.1.6 ou superior. Caso a atualização cause incompatibilidades com o tema ou outros plugins, considere realizar um backup completo do site antes de prosseguir. Em ambientes de teste, avalie a compatibilidade da nova versão antes de aplicar em produção. Implementar uma WAF (Web Application Firewall) com regras para detectar e bloquear requisições CSRF pode fornecer uma camada adicional de proteção, embora não substitua a necessidade de atualização do plugin. Verifique se o plugin possui alguma configuração de segurança adicional que possa ser ativada para mitigar o risco.
Atualize para a versão 1.1.6 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13657 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin HelpDesk Contact Form para WordPress, permitindo que atacantes alterem configurações sem autenticação.
Sim, se você estiver usando o plugin HelpDesk Contact Form nas versões de 0.0.0 a 1.1.5, você está afetado por essa vulnerabilidade.
Atualize o plugin HelpDesk Contact Form para a versão 1.1.6 ou superior para corrigir a vulnerabilidade.
Não há informações disponíveis sobre exploração ativa no momento, mas a natureza da vulnerabilidade CSRF a torna potencialmente explorável.
Consulte o site do WordPress para obter o advisory oficial e informações adicionais sobre a vulnerabilidade: [https://wordpress.org/news/](https://wordpress.org/news/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.