Plataforma
wordpress
Componente
wp-email-capture
Corrigido em
3.12.6
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin WP Email Capture. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo dados e configurações. A vulnerabilidade afeta versões do plugin WP Email Capture desde a versão 0.0.0 até a 3.12.5. A correção foi disponibilizada na versão 3.12.6.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante modifique configurações do plugin, adicione ou remova assinantes de e-mail, ou execute outras ações que o usuário autenticado possa realizar. Isso pode levar à perda de dados, comprometimento da integridade do sistema e, em alguns casos, acesso não autorizado a informações sensíveis. Um atacante pode usar técnicas de phishing para induzir um usuário a clicar em um link malicioso que executa a ação CSRF sem o conhecimento do usuário.
A vulnerabilidade foi divulgada em 2025-12-24. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração CSRF é relativamente simples de implementar.
Websites using the WP Email Capture plugin, particularly those with user accounts that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'wp_email_capture_process_form' /var/www/html/wp-content/plugins/wp-email-capture/• wordpress / composer / npm:
wp plugin list --status=active | grep wp-email-capture• wordpress / composer / npm:
wp plugin update wp-email-capture --version=3.12.6disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP Email Capture para a versão 3.12.6 ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação de tokens CSRF em todos os formulários e ações críticas. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o risco, restringindo as fontes de scripts que o navegador pode executar. Monitore logs do servidor e do plugin em busca de atividades suspeitas.
Atualize para a versão 3.12.6 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68529 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin WP Email Capture, permitindo que atacantes executem ações não autorizadas.
Sim, se você estiver usando o plugin WP Email Capture nas versões entre 0.0.0 e 3.12.5, você está afetado.
Atualize o plugin WP Email Capture para a versão 3.12.6 ou superior para corrigir a vulnerabilidade.
Não há informações confirmadas sobre exploração ativa no momento, mas o risco permanece devido à facilidade de exploração de vulnerabilidades CSRF.
Consulte o site oficial do WP Email Capture ou o repositório do plugin no WordPress.org para obter informações e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.