Plataforma
wordpress
Componente
sosh-share-buttons
Corrigido em
1.1.1
A vulnerabilidade CVE-2025-15377 é uma falha de Cross-Site Request Forgery (XSRF) descoberta no plugin Sosh Share Buttons para WordPress. Essa falha permite que atacantes maliciosos executem ações não autorizadas em nome de um administrador do site, como a modificação das configurações do plugin. A vulnerabilidade afeta todas as versões do plugin até a 1.1.0. A correção foi publicada pelo fornecedor.
Um atacante pode explorar essa vulnerabilidade forjando uma requisição HTTP que, se executada por um administrador logado, modificará as configurações do plugin Sosh Share Buttons. Isso pode levar a alterações na funcionalidade do plugin, inserção de código malicioso ou até mesmo o comprometimento da integridade do site WordPress. A exploração bem-sucedida requer que o atacante consiga enganar um administrador para que clique em um link malicioso ou visite uma página comprometida. O impacto potencial é a modificação das configurações do plugin, o que pode levar a problemas de segurança ou funcionalidade no site.
A vulnerabilidade foi divulgada publicamente em 14 de janeiro de 2026. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza de XSRF a torna potencialmente explorável. A ausência de validação de nonce é um padrão comum em vulnerabilidades XSRF. A vulnerabilidade foi adicionada ao NVD (National Vulnerability Database) em 14 de janeiro de 2026.
WordPress websites using the Sosh Share Buttons plugin, particularly those with shared hosting environments or where administrators are susceptible to phishing attacks, are at risk. Sites with outdated plugin versions are especially vulnerable.
• wordpress / composer / npm:
grep -r 'admin_page_content' /var/www/html/wp-content/plugins/sosh-share-buttons/• wordpress / composer / npm:
wp plugin list | grep 'sosh-share-buttons'• wordpress / composer / npm:
wp plugin update sosh-share-buttons --alldisclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-15377 é atualizar o plugin Sosh Share Buttons para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de proteção adicionais, como a ativação da validação de nonce em todas as ações administrativas do plugin. Considere também a implementação de políticas de segurança de navegação (CSP) para mitigar ataques XSRF. Monitore logs de acesso e auditoria em busca de atividades suspeitas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-15377 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin Sosh Share Buttons para WordPress, permitindo que atacantes executem ações não autorizadas em nome de administradores.
Sim, se você estiver usando o plugin Sosh Share Buttons em versões de 0.0.0 a 1.1.0, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin Sosh Share Buttons para a versão mais recente que corrige a vulnerabilidade. Se a atualização não for possível, implemente medidas de proteção adicionais, como a validação de nonce.
Embora não haja evidências de exploração ativa em campanhas direcionadas, a natureza de XSRF a torna potencialmente explorável.
Verifique o site oficial do Sosh Share Buttons ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.