Plataforma
wordpress
Componente
fast-user-switching
Corrigido em
1.4.11
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no componente Fast User Switching do Tikweb Management. Esta falha permite que atacantes executem ações em nome de usuários autenticados sem o seu conhecimento. A vulnerabilidade afeta versões do Fast User Switching de 0 até 1.4.10. A correção foi publicada em data desconhecida.
Um atacante pode explorar esta vulnerabilidade para realizar ações não autorizadas no Tikweb Management, como modificar configurações, criar ou excluir usuários, ou até mesmo comprometer a segurança do sistema. O ataque CSRF ocorre quando um usuário autenticado visita uma página maliciosa que contém uma requisição forjada. Essa requisição, se bem elaborada, pode ser executada pelo navegador do usuário, sem que ele perceba, alterando o estado do sistema. A extensão do impacto depende dos privilégios do usuário atacado e das permissões configuradas no Tikweb Management.
A vulnerabilidade foi divulgada em 24 de dezembro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração.
Websites utilizing Tikweb Management Fast User Switching, particularly those with shared hosting environments, are at increased risk. Users with administrative privileges are especially vulnerable, as an attacker could leverage this vulnerability to gain control of the entire system.
• wordpress / composer / npm:
grep -r 'fast-user-switching' /var/www/html/• generic web:
curl -I https://your-tikweb-site.com/fast-user-switching/ | grep -i 'csrf-token'disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Fast User Switching para uma versão corrigida, assim que disponível. Enquanto a atualização não for possível, implemente medidas de segurança adicionais, como a validação de tokens CSRF em todas as requisições críticas. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF. Considere a implementação de autenticação de dois fatores (2FA) para aumentar a segurança das contas de usuário.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a um atacante executar ações não autorizadas no Tikweb Management através de requisições forjadas, afetando versões de 0 até 1.4.10.
Se você utiliza o Fast User Switching do Tikweb em uma versão entre 0 e 1.4.10, você está potencialmente afetado. Verifique a versão instalada e aplique a correção.
A correção é a atualização para uma versão corrigida do Fast User Switching. Enquanto isso, implemente medidas de mitigação como validação de tokens CSRF e WAF.
Não há confirmação de exploração ativa no momento, mas a vulnerabilidade é pública e pode ser explorada.
Consulte o site oficial do Tikweb ou os canais de comunicação da comunidade para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.