Plataforma
wordpress
Componente
mergado-marketing-pack
Corrigido em
4.2.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no Mergado Pack, um plugin para WordPress. Essa falha permite que atacantes realizem ações não autorizadas em nome de usuários autenticados, comprometendo a integridade dos dados e configurações do site. A vulnerabilidade afeta versões do Mergado Pack entre 0.0.0 e 4.2.1. A correção foi disponibilizada em versões posteriores.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações como alterar configurações do plugin, adicionar ou remover produtos, ou até mesmo obter acesso a informações sensíveis. O impacto potencial é significativo, pois um atacante pode comprometer a funcionalidade do site e a segurança dos dados do usuário. A ausência de proteção CSRF adequada significa que um atacante pode induzir um usuário autenticado a executar ações indesejadas sem o seu conhecimento, aproveitando a sessão ativa do usuário no WordPress.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há relatos públicos de exploração ativa no momento. A ausência de um Proof of Concept (PoC) público torna a exploração mais difícil, mas a vulnerabilidade ainda representa um risco significativo, especialmente em ambientes com configurações de segurança inadequadas. A severidade é classificada como Média.
WordPress sites utilizing the Mergado Pack plugin, particularly those running versions 0.0.0 through 4.2.1, are at risk. Sites with limited security controls or those that allow user-generated content are especially vulnerable, as attackers can more easily craft malicious CSRF requests.
• wordpress / composer / npm:
grep -r 'mergado-marketing-pack' /var/www/html/wp-content/plugins/
wp plugin list | grep mergado-marketing-pack• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mergado-marketing-pack/ | grep -i 'mergado-marketing-pack'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para uma versão do Mergado Pack que contenha a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a utilização de tokens CSRF em todos os formulários e requisições críticas. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF também pode ajudar a reduzir o risco. Verifique se o plugin possui opções de configuração para habilitar a proteção CSRF por padrão.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62089 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Mergado Pack para WordPress, permitindo que atacantes realizem ações não autorizadas.
Sim, se você estiver usando o Mergado Pack nas versões entre 0.0.0 e 4.2.1, você está vulnerável a esta falha de segurança.
A correção é atualizar o Mergado Pack para uma versão que inclua a correção para esta vulnerabilidade. Consulte o site do desenvolvedor para obter a versão mais recente.
Atualmente, não há relatos públicos de exploração ativa, mas a vulnerabilidade representa um risco potencial.
Consulte o site oficial do Mergado Pack ou o repositório do plugin no WordPress para obter o advisory oficial e as informações de correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.