Plataforma
wordpress
Componente
gsheetconnector-gravity-forms
Corrigido em
1.3.24
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin GSheetConnector para Gravity Forms, afetando versões de 1.0.0 até 1.3.23. CSRF permite que um atacante execute ações em nome de um usuário autenticado, como ativar ou desativar plugins. A vulnerabilidade reside na falta de validação adequada de nonce nas funções activateplugin e deactivateplugin. A versão 1.3.24 corrige esta falha.
Um atacante pode explorar esta vulnerabilidade para induzir um administrador autenticado a executar ações indesejadas, como ativar ou desativar plugins no WordPress. Isso pode levar a alterações na funcionalidade do site, instalação de malware ou até mesmo comprometimento completo do sistema. O ataque geralmente envolve a criação de um link malicioso ou a inserção de código em uma página comprometida que, quando visitada por um administrador, executa a ação não autorizada. A ausência de validação de nonce torna o ataque relativamente simples de executar, especialmente se o administrador clicar em links suspeitos ou visitar sites comprometidos.
A vulnerabilidade foi publicada em 2025-10-11. Não há relatos públicos de exploração ativa no momento. A pontuação de severidade é baixa (CVSS 2.4). Não está listada no KEV da CISA. A ausência de um Proof of Concept (PoC) público torna a exploração mais difícil, mas a vulnerabilidade permanece um risco potencial.
WordPress websites utilizing the GSheetConnector for Gravity Forms plugin, particularly those with administrators who frequently manage plugins or visit external links. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromised account on one site could potentially affect others.
• wordpress / composer / npm:
grep -r 'activate_plugin|deactivate_plugin' /var/www/html/wp-content/plugins/gsheetconnector-for-gravity-forms/• wordpress / composer / npm:
wp plugin list --status=active | grep gsheetconnector• wordpress / composer / npm:
wp plugin update gsheetconnector-for-gravity-formsdisclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A principal mitigação é atualizar o plugin GSheetConnector para Gravity Forms para a versão 1.3.24 ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como restringir o acesso administrativo a usuários confiáveis e educar os usuários sobre os riscos de clicar em links suspeitos. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear solicitações CSRF também pode ajudar a mitigar o risco. Verifique se o plugin está configurado corretamente e se as permissões de usuário estão restritas ao mínimo necessário.
Atualize o plugin GSheetConnector for Gravity Forms para a versão 1.3.24 ou superior para mitigar a vulnerabilidade de Cross-Site Request Forgery. Esta atualização corrige a falta de validação de nonce nas funções de ativação e desativação de plugins, prevenindo que atacantes possam manipular estas ações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-8606 is a Cross-Site Request Forgery (CSRF) vulnerability affecting GSheetConnector for Gravity Forms versions 1.0.0–1.3.23, allowing attackers to perform actions as an administrator.
You are affected if you are using GSheetConnector for Gravity Forms version 1.0.0 through 1.3.23. Upgrade to 1.3.24 or later to mitigate the risk.
Upgrade the GSheetConnector for Gravity Forms plugin to version 1.3.24 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There is no confirmed active exploitation of CVE-2025-8606 at this time, but the ease of CSRF attacks warrants caution.
Refer to the official GSheetConnector for Gravity Forms plugin documentation or their website for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.