Plataforma
wordpress
Componente
sensitive-tag-cloud
Corrigido em
1.4.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin SensitiveTagCloud para WordPress. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, levando a um ataque de Cross-Site Scripting (XSS) armazenado. A vulnerabilidade afeta versões do SensitiveTagCloud de 0.0.0 até 1.4.1. A correção recomendada é a atualização para uma versão corrigida do plugin.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante injete scripts maliciosos (XSS) no site WordPress. Esses scripts podem ser armazenados no banco de dados e executados sempre que um usuário visita a página afetada. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou até mesmo à execução de código arbitrário no servidor, dependendo das permissões do usuário autenticado. O impacto é ampliado se o site WordPress for utilizado para armazenar informações sensíveis ou processar transações financeiras.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A vulnerabilidade foi classificada como de alta severidade (CVSS 7.1) devido ao potencial de XSS armazenado e ao impacto que isso pode ter na confidencialidade e integridade do site WordPress.
Websites using the SensitiveTagCloud plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'sensitive-tag-cloud/sensitive-tag-cloud' /var/www/html/
wp plugin list | grep sensitive-tag-cloud• generic web:
curl -I https://example.com/ | grep -i 'sensitive-tag-cloud'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin SensitiveTagCloud para a versão mais recente, que deve conter a correção para esta vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção CSRF, como a validação de tokens CSRF em todos os formulários e endpoints do plugin. Além disso, a implementação de um Web Application Firewall (WAF) com regras para bloquear requisições CSRF pode ajudar a mitigar o risco. Verifique, após a atualização, se o plugin está funcionando corretamente e se as medidas de proteção CSRF estão ativas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-49344 é uma vulnerabilidade CSRF no plugin SensitiveTagCloud para WordPress que permite ataques XSS armazenados, afetando versões de 0.0.0 até 1.4.1.
Sim, se você estiver utilizando o plugin SensitiveTagCloud em seu site WordPress nas versões 0.0.0 até 1.4.1, você está vulnerável a esta falha.
A correção recomendada é atualizar o plugin SensitiveTagCloud para a versão mais recente disponível. Se a atualização não for possível, implemente medidas de proteção CSRF.
Atualmente, não há informações disponíveis sobre a existência de campanhas de exploração ativas, mas a vulnerabilidade é considerada de alta severidade.
Consulte o site oficial do plugin SensitiveTagCloud ou o repositório do WordPress para obter o advisory oficial e informações sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.