Plataforma
wordpress
Componente
robotstxt-rewrite
Corrigido em
1.6.2
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Robots.txt rewrite para WordPress. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente alterando o arquivo robots.txt e impactando o rastreamento do site. A vulnerabilidade afeta versões do plugin de 0.0.0 até 1.6.1, e uma correção foi lançada na versão 1.6.2.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante modifique o arquivo robots.txt do site WordPress. Isso pode ser usado para impedir que mecanismos de busca rastreiem páginas específicas, efetivamente removendo-as dos resultados de pesquisa. Alternativamente, um atacante pode permitir o rastreamento de páginas sensíveis que normalmente seriam excluídas, expondo informações confidenciais. O impacto pode variar dependendo da configuração do site e da sensibilidade das páginas afetadas. A manipulação do robots.txt pode também ser usada para redirecionar usuários para sites maliciosos, embora isso exija um cenário de ataque mais complexo.
A vulnerabilidade foi publicada em 31 de dezembro de 2025. Não há evidências de exploração ativa no momento. Não foi listada no KEV (CISA Known Exploited Vulnerabilities) nem possui uma pontuação EPSS (Exploit Prediction Scoring System). A ausência de um PoC público amplamente divulgado sugere um risco de exploração relativamente baixo, mas a natureza inerente do CSRF significa que a exploração é sempre possível.
Websites using the Robots.txt rewrite plugin, particularly those relying on search engine optimization (SEO) and those with sensitive data that could be exposed through misconfigured robots.txt directives, are at risk. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'robots.txt' /var/www/html/wp-content/plugins/robots-txt-rewrite/
wp plugin list | grep robots-txt-rewrite• generic web:
curl -I https://example.com/robots.txt | grep -i 'allow:'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Robots.txt rewrite para a versão 1.6.2 ou superior, que corrige a vulnerabilidade CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação estrita do lado do servidor de todas as solicitações que modificam o arquivo robots.txt. Implementar políticas de CSP (Content Security Policy) que restrinjam o envio de solicitações para domínios não confiáveis também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de modificação suspeitas do arquivo robots.txt.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Robots.txt rewrite para WordPress, permitindo que atacantes manipulem o arquivo robots.txt.
Sim, se você estiver usando o plugin Robots.txt rewrite em versões de 0.0.0 até 1.6.1, você está afetado.
Atualize o plugin Robots.txt rewrite para a versão 1.6.2 ou superior. Implemente medidas de segurança adicionais, como validação do lado do servidor e CSP.
Não há evidências de exploração ativa no momento, mas a vulnerabilidade permanece um risco.
Consulte o site do WordPress e o repositório de plugins para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.