Plataforma
wordpress
Componente
link-whisper
Corrigido em
0.9.1
0.9.1
CVE-2026-1900 affects the Link Whisper Free plugin for WordPress, a tool designed to help build internal links. This vulnerability allows unauthenticated attackers to perform unauthorized actions within the plugin, potentially compromising website functionality or data. The issue is present in all versions of the plugin up to 0.9.1 (exclusive). A patch is available in version 0.9.1, addressing the missing capability check.
A vulnerabilidade CVE-2026-1900 no plugin Link Whisper Free para WordPress apresenta uma falha crítica: acesso não autorizado. A ausência de uma verificação de capacidade em uma função permite que atacantes não autenticados realizem ações que não deveriam ser permitidas. Isso pode levar a modificações maliciosas, criação de links internos prejudiciais ou possíveis violações de dados. A gravidade é alta, especialmente para sites que dependem do Link Whisper para gerenciamento de links internos e SEO, pois uma exploração bem-sucedida pode comprometer a integridade do site e a qualidade do conteúdo. Esta vulnerabilidade afeta todas as versões do plugin anteriores à 0.9.1.
Um atacante pode explorar esta vulnerabilidade enviando solicitações HTTP específicas direcionadas à função vulnerável. A ausência de requisitos de autenticação significa que o atacante pode enviar essas solicitações de qualquer lugar sem credenciais do WordPress. O sucesso da exploração depende das capacidades da função. A baixa barreira de entrada significa que um atacante pode ignorar os controles de acesso padrão do WordPress e executar ações como um administrador. A dificuldade de exploração é baixa, exigindo conhecimento técnico mínimo ou acesso prévio ao site.
Status do Exploit
EPSS
0.03% (percentil 10%)
Vetor CVSS
A mitigação recomendada para CVE-2026-1900 é atualizar imediatamente o Link Whisper Free para a versão 0.9.1 ou posterior. Esta atualização corrige a ausência de verificação de capacidade que permite o acesso não autorizado. A ação imediata é crucial para proteger seu site de possíveis explorações. Além disso, revise as permissões dos usuários do WordPress para garantir que apenas os usuários autorizados tenham acesso administrativo. Monitorar regularmente os logs do seu site em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Atualize para a versão 0.9.1, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador para uma vulnerabilidade de segurança no plugin Link Whisper Free do WordPress.
Permite que atacantes não autenticados realizem ações administrativas não autorizadas.
Atualize o Link Whisper Free para a versão 0.9.1 ou posterior imediatamente.
Revise as permissões dos usuários do WordPress e monitore os logs do seu site.
Consulte a página de detalhes do CVE-2026-1900 em bancos de dados de vulnerabilidades como o NIST NVD.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.