Plataforma
wordpress
Componente
auto-post-to-social-media-wp-to-social-champ
Corrigido em
1.3.6
A vulnerabilidade CVE-2025-14846 é uma falha de Cross-Site Request Forgery (CSRF) identificada no plugin Auto Post to Social Media from Social Champ para WordPress. Essa falha permite que atacantes não autenticados manipulem as configurações do plugin, potencialmente comprometendo a funcionalidade e a segurança do site. As versões afetadas são de 1.0.0 até a 1.3.5, sendo que uma correção foi lançada na versão 1.3.6.
Um atacante pode explorar essa vulnerabilidade CSRF para executar ações em nome de um administrador do site, sem o seu conhecimento ou consentimento. Isso pode incluir a alteração de configurações do plugin, como contas de mídia social conectadas, agendamentos de postagens e outras opções de personalização. O impacto pode variar desde a perda de controle sobre as postagens automáticas até a exposição de informações confidenciais associadas às contas de mídia social. A exploração bem-sucedida pode levar a um comprometimento significativo da integridade e da reputação do site WordPress.
A vulnerabilidade foi divulgada em 2026-01-14. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração CSRF é relativamente simples de implementar. É recomendável aplicar as medidas de mitigação o mais rápido possível.
Websites utilizing the Social Champ plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'wpsc_settings_tab_menu' /var/www/html/wp-content/plugins/social-champ/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/social-champ/ | grep -i 'wpsc_settings_tab_menu'disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Auto Post to Social Media from Social Champ para a versão 1.3.6 ou superior, que corrige a vulnerabilidade CSRF. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a restrição do acesso administrativo a usuários confiáveis e a ativação de plugins de segurança que ofereçam proteção contra ataques CSRF. Além disso, monitore os logs do WordPress em busca de atividades suspeitas e implemente regras de firewall (WAF) para bloquear requisições maliciosas. Após a atualização, confirme a correção verificando se as configurações do plugin não podem ser alteradas através de requisições forjadas.
Atualize para a versão 1.3.6, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14846 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Auto Post to Social Media from Social Champ para WordPress, permitindo que atacantes alterem configurações do plugin sem autorização.
Sim, se você estiver usando o plugin Auto Post to Social Media from Social Champ nas versões de 1.0.0 a 1.3.5, você está vulnerável a essa falha de CSRF.
Atualize o plugin Auto Post to Social Media from Social Champ para a versão 1.3.6 ou superior para corrigir a vulnerabilidade.
Não há relatos confirmados de exploração ativa no momento, mas a vulnerabilidade é relativamente fácil de explorar e deve ser corrigida o mais rápido possível.
Consulte o site do desenvolvedor do plugin ou o repositório oficial do WordPress para obter o advisory e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.