Plataforma
wordpress
Componente
simple-keyword-to-link
Corrigido em
1.5.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Simple Keyword to Link. Essa falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, comprometendo a integridade das configurações do plugin. As versões afetadas são de 0.0.0 até 1.5. A correção está disponível em versões futuras do plugin.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante modifique as configurações do plugin Simple Keyword to Link sem a necessidade de credenciais válidas. Isso pode incluir a alteração de palavras-chave vinculadas, a desativação de funcionalidades ou a introdução de conteúdo malicioso. O impacto potencial varia dependendo das permissões do usuário atacado, mas pode levar à manipulação do site e à perda de controle sobre o conteúdo. A ausência de validação adequada de referências em requisições HTTP torna possível a exploração.
A vulnerabilidade foi divulgada em 24 de dezembro de 2025. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza de CSRF a torna facilmente explorável. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é relativamente simples. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento.
Websites using the Simple Keyword to Link plugin, particularly those with user accounts that have administrative privileges or access to sensitive keyword link configurations, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is vulnerable and an attacker can leverage that to target other sites.
• wordpress / composer / npm:
grep -r "simple-keyword-to-link/simple-keyword-to-link.php" plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/simple-keyword-to-link/simple-keyword-to-link.php | grep -i 'simple keyword to link'disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a implementação de medidas de segurança adicionais, como a validação de referências em todas as requisições HTTP que modificam as configurações do plugin. Implementar um token CSRF em todos os formulários e requisições POST é crucial. Se a atualização imediata para a versão corrigida não for possível, considere desativar temporariamente as funcionalidades do plugin que são mais suscetíveis a ataques CSRF. Monitore os logs do servidor em busca de atividades suspeitas e implemente regras de firewall para bloquear requisições maliciosas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68573 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Simple Keyword to Link, permitindo que atacantes executem ações não autorizadas.
Se você estiver usando o plugin Simple Keyword to Link nas versões de 0.0.0 até 1.5, você está afetado por esta vulnerabilidade.
Atualize o plugin Simple Keyword to Link para a versão mais recente ou implemente medidas de mitigação, como validação de referências e tokens CSRF.
Embora não haja evidências de exploração ativa em campanhas direcionadas, a natureza de CSRF a torna facilmente explorável.
Consulte o site do desenvolvedor do plugin Simple Keyword to Link ou o repositório oficial do plugin no WordPress.org para obter informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.