Plataforma
wordpress
Componente
wp-caldav2ics
Corrigido em
1.3.5
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin WP-CalDav2ICS para WordPress. Esta falha permite a um atacante realizar ataques de Cross-Site Scripting (XSS) armazenado, potencialmente comprometendo a integridade e a confidencialidade do site. A vulnerabilidade afeta versões do plugin WP-CalDav2ICS desde a versão 0.0.0 até a 1.3.4. A correção oficial está disponível.
A exploração bem-sucedida desta vulnerabilidade CSRF com XSS armazenado permite que um atacante injete scripts maliciosos no site WordPress. Esses scripts podem ser executados no navegador de outros usuários, permitindo que o atacante roube cookies de sessão, redirecione usuários para sites maliciosos, ou modifique o conteúdo do site. O impacto pode variar dependendo da sensibilidade dos dados armazenados no site e do nível de acesso dos usuários afetados. Um atacante poderia, por exemplo, modificar o calendário exibido, redirecionando usuários para páginas de phishing ou injetando código malicioso que rouba credenciais.
A vulnerabilidade foi divulgada em 30 de dezembro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um CSRF com XSS armazenado geralmente indica um risco moderado, pois requer interação do usuário para ser explorado, mas o impacto pode ser significativo.
Websites using the WP-CalDav2ICS plugin, particularly those running older, unpatched versions (0.0.0–1.3.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp-caldav2ics" /var/www/html/
wp plugin list | grep WP-CalDav2ICS• generic web:
curl -I https://example.com/wp-content/plugins/wp-caldav2ics/ | grep -i 'wp-caldav2ics'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP-CalDav2ICS para a versão corrigida, assim que estiver disponível. Enquanto isso, considere implementar medidas de proteção CSRF adicionais, como a validação de tokens CSRF em todos os formulários do site. Além disso, utilize um Web Application Firewall (WAF) com regras para detectar e bloquear solicitações CSRF. Monitore os logs do WordPress em busca de atividades suspeitas, como solicitações POST inesperadas ou modificações não autorizadas no conteúdo do site. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de XSS.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59131 is a Cross-Site Request Forgery (CSRF) vulnerability in the WP-CalDav2ICS WordPress plugin, allowing for Stored XSS attacks.
You are affected if you are using WP-CalDav2ICS versions 0.0.0 through 1.3.4. Upgrade to a patched version as soon as it becomes available.
Upgrade the WP-CalDav2ICS plugin to the latest available version. Until then, restrict access and implement a Content Security Policy (CSP).
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the fix promptly.
Check the WP-CalDav2ICS plugin page on WordPress.org or the developer's website for updates and advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.