Plataforma
wordpress
Componente
da10
Corrigido em
11.2.1
O tema Dating para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (CSRF) nas versões até 11.2.0. Essa falha ocorre devido à falta ou validação incorreta de nonces em uma função específica. Um atacante pode explorar essa vulnerabilidade para executar ações não autorizadas em um site, desde que consiga enganar um administrador para realizar uma ação, como clicar em um link malicioso.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante execute ações em nome de um administrador do site WordPress sem a necessidade de credenciais. Isso pode incluir a modificação de configurações do site, a instalação de plugins maliciosos, a criação de novos usuários com privilégios elevados ou até mesmo a exclusão de conteúdo. O impacto é ampliado se o administrador for enganado para realizar múltiplas ações, permitindo ao atacante obter controle significativo sobre o site WordPress.
A vulnerabilidade foi divulgada em 23 de dezembro de 2025. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 4.3 (Médio) indica uma probabilidade moderada de exploração, especialmente em sites com administradores que podem ser alvos de ataques de phishing ou engenharia social. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco.
Websites using the Dating WordPress theme, particularly those with active administrators who regularly log in and manage the site, are at risk. Shared hosting environments where multiple websites share the same server resources could also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'wp_nonce_url' /var/www/html/wp-content/themes/dating/• generic web:
curl -I https://example.com/admin/ | grep -i 'referer'disclosure
Status do Exploit
Vetor CVSS
A mitigação primária é atualizar o tema Dating para uma versão corrigida, assim que disponível. Enquanto a atualização não é possível, considere implementar medidas de proteção adicionais, como a utilização de um plugin de segurança WordPress que ofereça proteção CSRF. Além disso, configure o servidor web para exigir autenticação para todas as ações administrativas críticas. Monitore logs do servidor e do WordPress em busca de atividades suspeitas, como requisições inesperadas ou modificações de configuração.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22342 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no tema Dating para WordPress, permitindo que atacantes executem ações não autorizadas.
Sim, se você estiver utilizando o tema Dating em versões até 11.2.0, você está vulnerável a esta falha.
Atualize o tema Dating para a versão mais recente, que contém a correção. Se a atualização não for possível, implemente medidas de mitigação, como plugins de segurança.
Até o momento, não há relatos públicos de exploração ativa, mas a vulnerabilidade representa um risco potencial.
Consulte o site oficial do tema Dating ou o repositório do WordPress para obter o aviso oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.