Plataforma
wordpress
Componente
stopwords-for-comments
Corrigido em
1.1.1
A vulnerabilidade CVE-2025-15376 afeta o plugin Stopwords for comments para WordPress, permitindo ataques de Cross-Site Request Forgery (CSRF). Essa falha ocorre devido à ausência de validação de nonce nas funções 'setstopwordsforcomments' e 'deletestopwordsforcomments', possibilitando que atacantes não autenticados manipulem a configuração do plugin. As versões afetadas incluem de 0.0.0 até 1.1. A correção está disponível em versões mais recentes do plugin.
Um atacante pode explorar essa vulnerabilidade CSRF para adicionar ou remover stopwords do plugin Stopwords for comments sem a necessidade de autenticação. Isso pode levar a alterações indesejadas no comportamento do plugin, potencialmente afetando a filtragem de comentários e a qualidade do conteúdo do site. O atacante precisaria enganar um administrador do site para clicar em um link malicioso que execute a ação de modificação. A exploração bem-sucedida pode comprometer a integridade do site e a experiência do usuário, embora não conceda acesso direto ao servidor ou aos dados do usuário.
A vulnerabilidade foi divulgada em 2026-01-14. Não há evidências de exploração ativa em campanhas conhecidas no momento. A pontuação de probabilidade de exploração (EPSS) ainda não foi determinada. É recomendável monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
WordPress sites utilizing the Stopwords for comments plugin, particularly those with shared hosting environments where plugin updates may be delayed, are at risk. Sites with less stringent administrator access controls are also more vulnerable to exploitation.
• wordpress / composer / npm:
grep -r 'set_stopwords_for_comments' /var/www/html/wp-content/plugins/stopwords-for-comments/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=set_stopwords_for_comments | grep -i '200 ok'disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Stopwords for comments para a versão mais recente, que corrige a vulnerabilidade CSRF. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear solicitações CSRF. Além disso, revise as permissões de usuário no WordPress para garantir que apenas administradores tenham acesso às funções de configuração do plugin. Monitore os logs do WordPress em busca de atividades suspeitas, como solicitações não autorizadas para as funções 'setstopwordsforcomments' e 'deletestopwordsforcomments'.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-15376 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Stopwords for comments para WordPress, permitindo que atacantes não autenticados modifiquem a configuração do plugin.
Se você estiver utilizando o plugin Stopwords for comments nas versões de 0.0.0 a 1.1, você está potencialmente afetado por essa vulnerabilidade.
A correção é atualizar o plugin Stopwords for comments para a versão mais recente que corrige a vulnerabilidade CSRF. Considere também medidas de mitigação como WAF.
Atualmente, não há evidências de exploração ativa em campanhas conhecidas, mas é recomendável aplicar as medidas de mitigação o mais rápido possível.
Verifique o site do desenvolvedor do plugin Stopwords for comments ou o repositório oficial do WordPress para obter o aviso oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.