Plataforma
wordpress
Componente
ays-popup-box
Corrigido em
6.0.8
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin Ays Pro Popup box. Essa falha permite que atacantes realizem ações não autorizadas em nome de usuários autenticados, potencialmente alterando configurações ou adicionando conteúdo malicioso. A vulnerabilidade afeta versões do plugin de 0.0.0 até 6.0.7 e foi corrigida na versão 6.0.8.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante execute ações em nome de um usuário logado no site WordPress que utiliza o plugin Ays Pro Popup box. Isso pode incluir a modificação de configurações do plugin, a criação de pop-ups maliciosos ou até mesmo a inclusão de código JavaScript malicioso que pode comprometer a segurança do site e seus visitantes. O impacto potencial é significativo, pois um atacante pode manipular o comportamento do plugin para fins nefastos, como phishing ou disseminação de malware. A falta de proteção CSRF torna o plugin suscetível a ataques que podem comprometer a integridade do site.
A vulnerabilidade foi divulgada em 30 de dezembro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE em listas como KEV ou EPSS. A avaliação de probabilidade de exploração é considerada baixa devido à falta de publicações de Proof-of-Concept (PoC) e à ausência de relatos de exploração em campanhas ativas.
WordPress websites using the Ays Pro Popup box plugin, particularly those running versions 0.0.0 through 6.0.7, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be immediately updated when a vulnerability is disclosed.
• wordpress / composer / npm:
grep -r 'ays-popup-box/ays-popup-box.php' /var/www/html/
wp plugin list | grep 'Ays Pro Popup Box'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ays-popup-box/ays-popup-box.php | grep -i 'ays-popup-box'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Ays Pro Popup box para a versão 6.0.8 ou superior, que inclui a correção para a falha CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação estrita de tokens CSRF em todas as requisições que modificam o estado do plugin. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF também pode ajudar a mitigar o risco. Verifique se o plugin está configurado com as permissões mínimas necessárias para sua funcionalidade.
Atualize para a versão 6.0.8, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-69021 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Ays Pro Popup box, permitindo que atacantes executem ações não autorizadas em nome de usuários.
Sim, se você estiver usando o plugin Ays Pro Popup box nas versões de 0.0.0 até 6.0.7, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin Ays Pro Popup box para a versão 6.0.8 ou superior.
Atualmente, não há relatos de exploração ativa da vulnerabilidade, mas a correção é recomendada para mitigar o risco.
Verifique o site oficial do desenvolvedor do plugin Ays Pro Popup box ou o repositório do plugin no WordPress para obter o aviso oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.