Plataforma
wordpress
Componente
rencontre
Corrigido em
3.13.8
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no software Rencontre, permitindo a injeção de código XSS armazenado. Essa falha de segurança pode ser explorada para comprometer a integridade e a confidencialidade dos dados dos usuários. As versões afetadas são as que variam de 0.0.0 até a versão 3.13.7, sendo a correção disponível na versão 3.13.8.
A exploração bem-sucedida desta vulnerabilidade CSRF, que leva a XSS armazenado, permite que um atacante execute scripts maliciosos no contexto do navegador de um usuário autenticado. Isso pode resultar no roubo de cookies de sessão, redirecionamento para sites maliciosos, modificação do conteúdo da página e, potencialmente, no controle total da conta do usuário. O impacto é amplificado pela natureza persistente do XSS armazenado, que pode afetar vários usuários ao longo do tempo, tornando a correção urgente.
A vulnerabilidade foi divulgada em 2025-12-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um CSRF que leva a XSS armazenado é uma preocupação significativa, e a ausência de um PoC público não elimina o risco de exploração futura.
WordPress websites utilizing the Rencontre plugin, particularly those with user roles that have administrative privileges, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'rencontre/plugin.php' /var/www/html/
wp plugin list | grep rencontre• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/rencontre/plugin.php | grep -i '3.13.7'disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 3.13.8 do Rencontre, que inclui a correção. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas do usuário e a implementação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts inline. Além disso, a utilização de tokens CSRF em todas as requisições sensíveis pode ajudar a mitigar o risco.
Atualize para a versão 3.13.8 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a injeção de XSS armazenado através de requisições forjadas, afetando versões do Rencontre até 3.13.7.
Sim, se você estiver utilizando o Rencontre nas versões entre 0.0.0 e 3.13.7, você está vulnerável a esta falha.
Atualize o Rencontre para a versão 3.13.8 ou superior, que inclui a correção para esta vulnerabilidade.
Não há informações confirmadas sobre exploração ativa no momento, mas a vulnerabilidade representa um risco significativo.
Consulte o site oficial do Rencontre ou o repositório do plugin no WordPress para obter informações e atualizações sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.