Plataforma
wordpress
Componente
set-bulk-post-categories
Corrigido em
1.1.1
O plugin Set Bulk Post Categories para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF) em todas as versões até, e incluindo, 1.1. Essa falha ocorre devido à ausência de validação de nonce na funcionalidade de atualização em massa de categorias. A exploração bem-sucedida permite que um atacante não autenticado modifique as categorias de posts em massa, induzindo um administrador do site a executar uma ação maliciosa, como clicar em um link especialmente elaborado.
Um atacante pode explorar essa vulnerabilidade para realizar modificações não autorizadas nas categorias de posts de um site WordPress. Isso pode levar a alterações no conteúdo exibido, redirecionamentos maliciosos ou até mesmo a manipulação de dados sensíveis, dependendo da forma como as categorias são utilizadas no site. A ausência de validação de nonce torna o ataque relativamente simples de executar, especialmente se o atacante conseguir enganar um administrador para clicar em um link malicioso. A modificação em massa de categorias pode causar confusão aos usuários e prejudicar a integridade do site.
A vulnerabilidade foi divulgada em 24 de janeiro de 2026. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 4.3 (Médio) indica uma probabilidade moderada de exploração, especialmente em sites com baixa segurança e administradores desatentos. Verifique a página do CVE no NVD para atualizações sobre a exploração e possíveis indicadores de comprometimento.
WordPress sites utilizing the Set Bulk Post Categories plugin, particularly those with administrative accounts that are regularly targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks against others.
• wordpress / composer / npm:
grep -r 'bulk_update_categories' /var/www/html/wp-content/plugins/set-bulk-post-categories/• generic web:
curl -I https://example.com/wp-admin/admin-post.php?action=set_bulk_post_categories_update | grep -i 'referer'disclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Set Bulk Post Categories para uma versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear requisições XSRF. Além disso, reforce as práticas de segurança do site, como a educação dos administradores sobre os riscos de clicar em links suspeitos e a implementação de autenticação de dois fatores (2FA) para contas de administrador. Monitore os logs do servidor em busca de atividades suspeitas relacionadas à modificação de categorias.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1081 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin Set Bulk Post Categories para WordPress, permitindo que atacantes não autenticados modifiquem categorias de posts em massa.
Se você utiliza o plugin Set Bulk Post Categories em versões 0.0.0–1.1, você está potencialmente afetado. Verifique a versão instalada e atualize o plugin o mais rápido possível.
A correção é atualizar o plugin Set Bulk Post Categories para uma versão corrigida. Monitore o site e implemente medidas de mitigação até que a atualização esteja disponível.
Até o momento, não há relatos públicos de exploração ativa, mas a vulnerabilidade é considerada de risco moderado.
Verifique o site do WordPress e o CVE no NVD para obter informações e atualizações sobre a vulnerabilidade e a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.