Plataforma
wordpress
Componente
church-admin
Corrigido em
5.0.29
A vulnerabilidade CVE-2026-0682 é uma falha de Server-Side Request Forgery (SSRF) descoberta no plugin Church Admin para WordPress. Essa falha permite que um atacante autenticado, com privilégios de administrador, realize requisições web arbitrárias a partir da aplicação, comprometendo potencialmente a segurança de serviços internos. As versões afetadas incluem todas as versões de 0.0.0 até 5.0.28, sendo corrigida na versão 5.0.29.
Um atacante explorando essa vulnerabilidade pode usar o plugin Church Admin para enviar requisições a qualquer URL que o servidor WordPress possa acessar. Isso pode permitir o acesso a recursos internos que não são expostos publicamente, como painéis de administração de outros serviços, APIs internas ou até mesmo outros servidores na rede interna. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, modificação de dados ou até mesmo a execução de código em outros sistemas, dependendo da configuração e dos serviços acessíveis. Embora a severidade seja classificada como baixa, o potencial de acesso a dados sensíveis e a possibilidade de escalada de privilégios tornam essa vulnerabilidade um risco significativo.
A vulnerabilidade foi divulgada em 17 de janeiro de 2026. Não há evidências de exploração ativa no momento, mas a facilidade de exploração e a presença de acesso administrativo requerido podem torná-la um alvo para atacantes. A ausência de um Proof of Concept (PoC) público não diminui a importância de aplicar as medidas de mitigação recomendadas.
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-0682 é atualizar o plugin Church Admin para a versão 5.0.29 ou superior. Se a atualização imediata não for possível, considere implementar regras de firewall de aplicação web (WAF) para bloquear requisições com URLs suspeitas ou não autorizadas. Além disso, revise as permissões de acesso do plugin e limite o acesso de usuários com privilégios administrativos apenas ao que é estritamente necessário. Monitore os logs do servidor WordPress em busca de requisições incomuns ou tentativas de acesso a recursos internos não autorizados.
Atualizar para a versão 5.0.29, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-0682 is a Server-Side Request Forgery vulnerability in the Church Admin WordPress plugin, allowing authenticated administrators to make arbitrary web requests. It affects versions 0.0.0–5.0.28 and has a CVSS score of 2.2 (LOW).
You are affected if your WordPress site uses the Church Admin plugin and is running version 5.0.28 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Church Admin plugin to version 5.0.29 or later. If immediate upgrade is not possible, implement a WAF rule to block suspicious outbound requests.
Currently, there is no public evidence of active exploitation of CVE-2026-0682, but it's crucial to apply the patch to mitigate potential risks.
Refer to the official WordPress security advisory and the Church Admin plugin's website for the latest information and updates regarding CVE-2026-0682.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.