Plataforma
aruba
Componente
aruba-hispeed-cache
Corrigido em
3.0.5
3.0.5
A vulnerabilidade CVE-2026-1924 afeta o plugin Aruba HiSpeed Cache para WordPress, permitindo ataques de Cross-Site Request Forgery (XSRF). Um atacante pode explorar essa falha para redefinir as configurações do plugin para seus valores padrão, comprometendo a funcionalidade e a segurança do site. As versões afetadas são todas as versões até, e incluindo, 3.0.4. A correção foi lançada na versão 3.0.5.
Um atacante pode explorar a vulnerabilidade XSRF para manipular as configurações do plugin Aruba HiSpeed Cache sem a necessidade de autenticação. Isso pode ser feito através da criação de uma requisição forjada que, se executada por um administrador do site, redefinirá todas as opções do plugin para seus valores padrão. Essa redefinição pode desabilitar funcionalidades importantes, alterar o comportamento do cache ou até mesmo expor dados sensíveis, dependendo da configuração original do plugin. A exploração bem-sucedida pode levar à interrupção do serviço ou à manipulação de dados, impactando a disponibilidade e a integridade do site WordPress.
O CVE-2026-1924 foi publicado em 2026-04-10. Atualmente, não há informações sobre exploração ativa em campanhas direcionadas. Não está listado no KEV (CISA Known Exploited Vulnerabilities) e a probabilidade de exploração é considerada baixa a média, dependendo da prevalência do plugin e da conscientização dos administradores de WordPress. Consulte o aviso oficial do Aruba para obter informações adicionais.
Websites utilizing the Aruba HiSpeed Cache plugin, particularly those with shared hosting environments or where plugin updates are not performed regularly, are at risk. WordPress administrators who routinely click on links from untrusted sources are also vulnerable.
• wordpress / composer / npm:
grep -r 'ahsc_ajax_reset_options()' /var/www/html/wp-content/plugins/aruba-hispeed-cache/• wordpress / composer / npm:
wp plugin list --status=all | grep aruba-hispeed-cache• wordpress / composer / npm:
wp plugin update aruba-hispeed-cache --alldisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-1924 é a atualização imediata do plugin Aruba HiSpeed Cache para a versão 3.0.5 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Implementar medidas de segurança adicionais, como a utilização de um firewall de aplicação web (WAF) com proteção contra XSRF, pode ajudar a mitigar o risco. Verifique as configurações do plugin para garantir que não haja opções sensíveis expostas ou configuradas de forma insegura.
Atualize para a versão 3.0.5, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1924 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Aruba HiSpeed Cache WordPress plugin versions up to 3.0.4, allowing attackers to reset plugin settings.
You are affected if you are using the Aruba HiSpeed Cache plugin in versions 3.0.4 or earlier. Upgrade to 3.0.5 or later to mitigate the risk.
Upgrade the Aruba HiSpeed Cache plugin to version 3.0.5 or later. Consider WAF rules or restricting admin access as temporary workarounds.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the Aruba Security Advisories page for the latest information: [https://www.arubanetworks.com/assets/security-advisories/](https://www.arubanetworks.com/assets/security-advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.