Plataforma
wordpress
Componente
sr-wp-minify-html
Corrigido em
2.2
O plugin SR WP Minify HTML para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF). Essa falha permite que atacantes não autenticados modifiquem as configurações do plugin através de requisições forjadas, explorando a falta de validação de nonce na função srminifyhtml_theme(). As versões afetadas são de 0.0.0 até a 2.1. A correção foi implementada na versão 2.2.
Um atacante pode explorar essa vulnerabilidade para alterar as configurações do plugin SR WP Minify HTML sem a necessidade de autenticação. Isso pode levar a modificações no comportamento do plugin, como a desativação da minificação de HTML, a alteração das regras de minificação ou a inclusão de código malicioso. Em um cenário de ataque, um administrador do site poderia ser enganado para clicar em um link malicioso que executa uma requisição XSRF, alterando as configurações do plugin sem o seu conhecimento. O impacto pode variar dependendo das configurações do plugin e do acesso que o atacante obtém através dessas modificações, potencialmente comprometendo a performance e a segurança do site.
A vulnerabilidade foi divulgada em 21 de março de 2026. Não há relatos públicos de exploração ativa no momento. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade XSRF a torna potencialmente explorável. A pontuação CVSS de 4.3 (Médio) indica um risco moderado.
Websites using the SR WP Minify HTML plugin, particularly those with shared hosting environments or lacking robust administrator access controls, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable.
• wordpress / composer / npm:
grep -r 'sr_minify_html_theme()' /var/www/html/wp-content/plugins/sr-wp-minify-html/ | grep -i 'nonce'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=sr_minify_html_theme&nonce=invalid | grep -i '200 OK'disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin SR WP Minify HTML para a versão 2.2 ou superior, que corrige a vulnerabilidade XSRF. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção adicionais. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições XSRF pode ajudar a mitigar o risco. Além disso, revise as configurações do plugin para garantir que estejam configuradas de forma segura e que não exponham informações sensíveis. Monitore os logs do WordPress em busca de atividades suspeitas, como requisições não autorizadas para modificar as configurações do plugin.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1392 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin SR WP Minify HTML para WordPress, permitindo que atacantes não autenticados modifiquem as configurações do plugin.
Se você estiver usando o plugin SR WP Minify HTML nas versões de 0.0.0 a 2.1, você está afetado por esta vulnerabilidade.
Atualize o plugin SR WP Minify HTML para a versão 2.2 ou superior para corrigir a vulnerabilidade XSRF.
Não há relatos públicos de exploração ativa no momento, mas a vulnerabilidade é potencialmente explorável.
Consulte o site do desenvolvedor do plugin SR WP Minify HTML ou o repositório do WordPress para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.