Plataforma
wordpress
Componente
newsletter
Corrigido em
9.1.1
O plugin Newsletter para WordPress, utilizado para envio de newsletters, apresenta uma vulnerabilidade de Cross-Site Request Forgery (CSRF). Essa falha permite que atacantes não autenticados removam assinantes da newsletter, explorando a falta de validação adequada de tokens de segurança (nonces). As versões afetadas são as que variam de 0.0.0 até a 9.1.0. A correção foi disponibilizada na versão 9.1.1.
A vulnerabilidade CSRF no plugin Newsletter permite que um atacante, ao induzir um usuário logado a clicar em um link malicioso, execute ações em nome desse usuário. Neste caso, o atacante pode remover assinantes da lista de e-mails da newsletter sem a necessidade de autenticação. O impacto direto é a perda de assinantes e a potencial interrupção da comunicação com o público-alvo. Embora a exploração exija interação do usuário, a facilidade de engenharia social torna essa vulnerabilidade significativa, especialmente em sites com grande número de usuários e assinantes. A ausência de validação de nonce na função hooknewsletteraction() é a raiz do problema, permitindo que requisições maliciosas sejam aceitas como legítimas.
A vulnerabilidade CVE-2026-1051 foi divulgada em 2026-01-20. Atualmente, não há relatos de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial para ataques oportunistas. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um PoC público é desconhecida, mas a facilidade de exploração sugere que um pode ser desenvolvido rapidamente.
WordPress sites utilizing the Newsletter plugin are at risk. Specifically, sites with a large subscriber base or those relying heavily on email marketing are more vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'hook_newsletter_action()' /var/www/html/wp-content/plugins/newsletter/• wordpress / composer / npm:
wp plugin list | grep newsletter• wordpress / composer / npm:
wp plugin update newsletter --all• generic web: Check WordPress plugin directory for reports of CVE-2026-1051 exploitation.
disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-1051 é a atualização imediata do plugin Newsletter para a versão 9.1.1 ou superior. Se a atualização imediata não for possível devido a conflitos de compatibilidade ou outros problemas, considere implementar medidas de proteção adicionais. Implementar uma Web Application Firewall (WAF) com regras para bloquear requisições CSRF pode ajudar a mitigar o risco. Além disso, revise as configurações do WordPress para garantir que a proteção CSRF padrão esteja habilitada e funcionando corretamente. Após a atualização, verifique se a validação de nonce está sendo aplicada corretamente nas funções do plugin, inspecionando o código-fonte ou utilizando ferramentas de análise de segurança.
Atualize para a versão 9.1.1, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1051 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Newsletter para WordPress, permitindo que atacantes removam assinantes sem autenticação.
Se você estiver utilizando o plugin Newsletter em versões de 0.0.0 a 9.1.0, você está afetado por esta vulnerabilidade.
Atualize o plugin Newsletter para a versão 9.1.1 ou superior para corrigir a vulnerabilidade.
Não há relatos de exploração ativa no momento, mas a vulnerabilidade é um alvo potencial para ataques oportunistas.
Consulte o site oficial do plugin Newsletter ou o repositório do WordPress para obter o aviso oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.