Plataforma
wordpress
Componente
noindex-by-path
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Noindex by Path para WordPress. Essa falha permite a injeção de código JavaScript malicioso, resultando em XSS armazenado. As versões afetadas são da 0.0.0 até a 1.0. A correção oficial está pendente, mas medidas de mitigação podem ser implementadas para reduzir o risco.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante execute scripts maliciosos no contexto do usuário autenticado no WordPress. O atacante pode, por exemplo, modificar o conteúdo do site, redirecionar usuários para sites maliciosos ou roubar informações confidenciais, como cookies de sessão. A XSS armazenada, resultante do CSRF, amplifica o impacto, permitindo que o atacante execute código arbitrário em qualquer página acessada por usuários vulneráveis. A falta de validação adequada das requisições HTTP torna possível a manipulação das configurações do plugin, abrindo portas para ataques mais sofisticados.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há informações sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um CSRF que leva a XSS armazenado é considerada um risco significativo, especialmente em sites WordPress com alta visibilidade e acesso de usuários privilegiados.
Websites using the Noindex by Path WordPress plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "noindex_by_path" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep noindex-by-path• wordpress / composer / npm:
wp plugin update noindex-by-pathdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi lançada, a mitigação imediata envolve a desativação do plugin Noindex by Path, se possível. Alternativamente, implemente regras de firewall de aplicação web (WAF) para bloquear requisições CSRF suspeitas, focando em requisições para endpoints do plugin. Considere a utilização de tokens CSRF em todas as requisições críticas do plugin, se possível, através de um plugin de segurança adicional. Monitore os logs do WordPress em busca de atividades suspeitas, como requisições POST inesperadas para URLs do plugin.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Noindex by Path para WordPress, que permite a injeção de código JavaScript malicioso, resultando em XSS armazenado.
Sim, se você estiver utilizando o plugin Noindex by Path nas versões de 0.0.0 até 1.0, você está potencialmente afetado.
A correção oficial está pendente. Como mitigação, desative o plugin ou implemente regras WAF e tokens CSRF.
Não há informações sobre exploração ativa no momento da publicação, mas a vulnerabilidade representa um risco significativo.
Verifique o site do desenvolvedor do plugin ou o repositório oficial do WordPress para obter informações e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.