Plataforma
wordpress
Componente
custom-404-pro
Corrigido em
3.12.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin Custom 404 Pro para WordPress. Essa falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a integridade do site. As versões afetadas são da 0.0.0 até a 3.12.0. A correção foi disponibilizada na versão 3.12.1.
A vulnerabilidade CSRF no Custom 404 Pro permite que um atacante, através de um site malicioso ou e-mail, induza um usuário autenticado a executar ações indesejadas no site WordPress onde o plugin está instalado. Isso pode incluir a modificação de configurações do plugin, a criação de novas páginas 404 personalizadas ou até mesmo a exclusão de conteúdo existente. O impacto é amplificado se o usuário possuir privilégios de administrador, pois o atacante poderá obter controle total sobre o site. A exploração bem-sucedida pode levar à defacement do site, roubo de dados sensíveis ou até mesmo à instalação de malware.
A vulnerabilidade foi divulgada em 2025-12-22. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração.
WordPress websites utilizing the Custom 404 Pro plugin, particularly those running older versions (0.0.0–3.12.0), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with administrator accounts that are frequently used or have weak passwords are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'Custom 404 Pro' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Custom 404 Pro'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=custom_404_pro_save_settings&setting_name=some_setting&setting_value=some_value | grep HTTP/1.1disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Custom 404 Pro para a versão 3.12.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a utilização de um Web Application Firewall (WAF) com regras CSRF ativadas. Além disso, revise as configurações do plugin para garantir que as permissões de acesso estejam adequadamente restritas. Monitore os logs do WordPress em busca de atividades suspeitas, como requisições inesperadas ou modificações não autorizadas.
Atualize para a versão 3.12.1 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que permite a atacantes executarem ações não autorizadas em sites WordPress que utilizam o plugin Custom 404 Pro nas versões 0.0.0 até 3.12.0.
Sim, se você estiver utilizando o plugin Custom 404 Pro nas versões 0.0.0 até 3.12.0, você está vulnerável a ataques CSRF.
Atualize o plugin Custom 404 Pro para a versão 3.12.1 ou superior. Considere também implementar um WAF com regras CSRF.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade permanece um risco.
Consulte o site do desenvolvedor do plugin ou o repositório do WordPress para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.