Plataforma
wordpress
Componente
thesis-openhook
Corrigido em
4.3.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin OpenHook para WordPress. Essa falha permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento. A vulnerabilidade afeta versões do OpenHook desde 0.0.0 até a versão 4.3.1. A correção está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações não autorizadas na aplicação OpenHook, como modificar configurações, excluir dados ou até mesmo comprometer a conta do usuário. O impacto potencial é significativo, especialmente em ambientes onde o OpenHook é usado para gerenciar informações sensíveis ou controlar o acesso a recursos críticos. Um atacante poderia, por exemplo, alterar as configurações do plugin para redirecionar o tráfego ou injetar código malicioso. A falta de proteção CSRF torna o plugin suscetível a ataques que podem levar à perda de dados ou à tomada de controle da aplicação.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A severidade é classificada como Média (CVSS 5.4), indicando uma probabilidade moderada de exploração se as medidas de mitigação não forem implementadas.
Websites using the OpenHook WordPress plugin, particularly those with users who have administrative or editor roles, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'openhook_save_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=openhook_save_options | grep -i 'referer:'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin OpenHook para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as requisições HTTP e a utilização de tokens CSRF. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições suspeitas também pode ajudar a mitigar o risco. Além disso, revise as permissões de usuário e limite o acesso a funcionalidades sensíveis apenas aos usuários autorizados.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin OpenHook para WordPress, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados.
Sim, se você estiver utilizando o plugin OpenHook nas versões de 0.0.0 até 4.3.1, você está vulnerável a essa falha.
Atualize o plugin OpenHook para a versão corrigida assim que estiver disponível. Enquanto isso, implemente medidas de proteção adicionais, como WAF e validação de requisições.
Não há informações disponíveis sobre exploração ativa no momento, mas a vulnerabilidade é considerada de severidade média e deve ser corrigida.
Consulte o site oficial do OpenHook ou o repositório do plugin no WordPress para obter informações sobre a correção e o aviso de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.