Plataforma
wordpress
Componente
thim-core
Corrigido em
2.4.0
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no ThimPress Thim Core. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo dados e configurações. A vulnerabilidade afeta as versões do Thim Core a partir da n/a até a 2.3.3, sendo corrigida na versão 2.4.0.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante modifique configurações do site, adicione ou remova usuários, altere conteúdo ou execute outras ações administrativas sem a permissão do proprietário. O impacto potencial é significativo, especialmente em sites com informações sensíveis ou que processam dados de usuários. Um atacante pode, por exemplo, alterar o conteúdo de páginas, redirecionar usuários para sites maliciosos ou até mesmo assumir o controle total do site, dependendo das permissões do usuário afetado.
A vulnerabilidade foi publicada em 2026-01-05. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A severidade é classificada como média (CVSS 4.3), indicando uma probabilidade moderada de exploração.
Websites using Thim Core plugin versions prior to 2.4.0 are at risk. Specifically, sites with user roles that have administrative privileges are particularly vulnerable, as an attacker could leverage CSRF to escalate their privileges.
• wordpress / composer / npm:
grep -r 'thim_core_settings' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=thim_core_settings&nonce=malicious_nonce | grep -i '200 ok'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A principal mitigação para esta vulnerabilidade é atualizar o Thim Core para a versão 2.4.0 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas de dados e a utilização de tokens CSRF em todos os formulários. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear solicitações CSRF também pode ajudar a reduzir o risco. Verifique, após a atualização, se as configurações do site permanecem inalteradas e se não há atividades suspeitas nos logs.
Atualize o plugin Thim Core para a versão 2.4.0 ou superior para mitigar a vulnerabilidade de Cross-Site Request Forgery (CSRF). Certifique-se de fazer um backup do seu site antes de atualizar qualquer plugin. Consulte a documentação do plugin para obter instruções detalhadas sobre como atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Thim Core, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados. Afeta versões n/a–2.3.3.
Sim, se você estiver utilizando o Thim Core nas versões n/a até 2.3.3, você está vulnerável. Atualize para a versão 2.4.0 para corrigir a falha.
A correção é simples: atualize o plugin Thim Core para a versão 2.4.0 ou superior através do painel de administração do WordPress.
Atualmente, não há informações sobre exploração ativa, mas a vulnerabilidade é pública e pode ser explorada a qualquer momento. A atualização é crucial.
Consulte o site oficial do ThimPress ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.