Plataforma
wordpress
Componente
onestore-sites
Corrigido em
0.1.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta em OneStore Sites, um plugin para WordPress. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo a integridade do site. As versões afetadas são as que variam de 0.0.0 até a versão 0.1.1. A correção foi disponibilizada na versão 0.1.2.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize diversas ações maliciosas, como modificar configurações do site, adicionar ou remover usuários, ou até mesmo executar código arbitrário, dependendo das permissões do usuário atacado. Um atacante pode criar um link ou formulário malicioso que, quando acessado por um usuário autenticado, executa ações indesejadas sem o conhecimento do usuário. O impacto potencial é alto, especialmente em sites com dados sensíveis ou funcionalidades críticas, pois um atacante pode comprometer a segurança do site e dos dados dos usuários.
A vulnerabilidade foi divulgada em 07 de fevereiro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento desta análise. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração CSRF é relativamente simples de implementar.
WordPress sites using the sainwp OneStore Sites plugin, particularly those with user roles that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sainwp OneStore Sites' /var/www/html/
wp plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/onestore-sites/ | grep -i 'onestore-sites'disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin OneStore Sites para a versão 0.1.2 ou superior, que corrige a vulnerabilidade CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as requisições HTTP e a utilização de tokens CSRF em todos os formulários. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF também pode ajudar a mitigar o risco. Verifique se o plugin está configurado com as permissões mínimas necessárias para sua funcionalidade.
Atualize o plugin OneStore Sites para a última versão disponível para mitigar a vulnerabilidade de Cross-Site Request Forgery (CSRF). Verifique a página do plugin no WordPress.org para obter a versão mais recente e as instruções de atualização. Implemente medidas de segurança adicionais, como a validação de entrada e a codificação de saída, para prevenir futuros ataques CSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin OneStore Sites para WordPress, permitindo que atacantes executem ações não autorizadas.
Sim, se você estiver usando o OneStore Sites nas versões de 0.0.0 até 0.1.1, você está vulnerável a esta falha.
Atualize o plugin OneStore Sites para a versão 0.1.2 ou superior para corrigir a vulnerabilidade.
Não há confirmação de exploração ativa no momento, mas a vulnerabilidade é potencialmente explorável.
Verifique o site oficial do sainwp ou o repositório do plugin no WordPress.org para obter informações e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.