Plataforma
wordpress
Componente
formfacade
Corrigido em
1.4.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin FormFacade para WordPress. Essa falha permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento. As versões afetadas são aquelas que variam de 0.0.0 até a versão 1.4.1. A correção para esta vulnerabilidade está disponível através da atualização do plugin.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações administrativas no site WordPress, como criar, editar ou excluir formulários, alterar configurações do plugin ou até mesmo obter acesso a dados sensíveis. O impacto potencial é significativo, pois um atacante pode comprometer a integridade e a confidencialidade do site e dos dados dos usuários. Um atacante pode, por exemplo, criar um formulário malicioso que coleta informações de usuários e as envia para um servidor controlado pelo atacante, ou modificar formulários existentes para redirecionar os usuários para sites maliciosos.
Atualmente, não há relatos públicos de exploração ativa desta vulnerabilidade. A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A probabilidade de exploração é considerada baixa a média, dependendo da popularidade do plugin e da disponibilidade de ferramentas de exploração.
Websites using the FormFacade plugin, particularly those handling sensitive user data or integrated with other critical systems, are at risk. Users who haven't updated the plugin to the latest version are especially vulnerable.
• wordpress / composer / npm:
grep -r 'formfacade/formfacade' /var/www/html/
wp plugin list | grep FormFacade• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/formfacade/formfacade.php | grep Serverdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin FormFacade para a versão mais recente, que contém a correção. Se a atualização imediata não for possível devido a problemas de compatibilidade ou outros conflitos, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear solicitações CSRF. Além disso, certifique-se de que todos os usuários do site estejam cientes dos riscos de CSRF e evitem clicar em links suspeitos ou abrir anexos de e-mail de fontes desconhecidas. Implementar a validação de tokens CSRF em todos os formulários do site também pode ajudar a mitigar o risco.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin FormFacade para WordPress, permitindo que atacantes executem ações não autorizadas em nome de usuários autenticados.
Sim, se você estiver utilizando o plugin FormFacade em versões de 0.0.0 até 1.4.1, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin FormFacade para a versão mais recente, que contém a correção para a vulnerabilidade CSRF.
Atualmente, não há relatos públicos de exploração ativa, mas a vulnerabilidade é considerada de risco e deve ser corrigida.
Verifique o site oficial do FormFacade ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.