Plataforma
wordpress
Componente
post-snippets
Corrigido em
4.0.12
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Post Snippets para WordPress. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente modificando ou excluindo posts. A vulnerabilidade afeta versões do plugin de 0.0.0 até 4.0.11, sendo corrigida na versão 4.0.12.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante modifique o conteúdo de posts, altere configurações do plugin ou execute outras ações administrativas sem a permissão do usuário. Isso pode levar à defacement do site, roubo de informações ou até mesmo à tomada de controle do site. O impacto é ampliado em sites com muitos usuários ou com posts sensíveis, pois um atacante pode explorar a vulnerabilidade em larga escala. A ausência de validação adequada de referências em requisições HTTP torna possível a manipulação de ações do plugin.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há relatos públicos de exploração ativa no momento. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial para ataques automatizados. A avaliação de risco é considerada média devido à facilidade de exploração e ao potencial impacto.
Websites using the Post Snippets plugin, particularly those running older versions (0.0.0–4.0.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't been updated to the latest version.
• wordpress / composer / npm:
grep -r 'post-snippets/includes/class-post-snippets.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/wp-content/plugins/post-snippets/includes/class-post-snippets.php | grep -i 'server'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata do plugin Post Snippets para a versão 4.0.12 ou superior. Enquanto a atualização não for possível, implemente medidas de proteção CSRF adicionais, como a utilização de tokens CSRF em todas as requisições críticas do plugin. Considere a utilização de um Web Application Firewall (WAF) com regras para bloquear requisições CSRF suspeitas. Verifique se o plugin possui opções de configuração para habilitar a proteção CSRF por padrão.
Atualize para a versão 4.0.12 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Post Snippets para WordPress, permitindo que atacantes executem ações não autorizadas.
Sim, se você estiver utilizando o plugin Post Snippets nas versões de 0.0.0 até 4.0.11, você está afetado.
Atualize o plugin Post Snippets para a versão 4.0.12 ou superior. Implemente medidas de proteção CSRF adicionais como medida temporária.
Não há relatos públicos de exploração ativa no momento, mas a vulnerabilidade é um alvo potencial.
Consulte o site do WordPress e o repositório de plugins para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.