Plataforma
wordpress
Componente
add-polylang-support-for-customizer
Corrigido em
1.4.6
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Add Polylang support for Customizer. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo a configuração do site. A vulnerabilidade afeta versões do plugin de 0 até 1.4.5. A correção foi publicada em 22 de janeiro de 2026.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante modifique configurações críticas do site, como alterar as opções do Customizer, sem o conhecimento ou consentimento do administrador. Isso pode levar a alterações indesejadas na aparência e funcionalidade do site, ou até mesmo permitir o acesso não autorizado a dados sensíveis. Um atacante pode, por exemplo, alterar as configurações de idioma, modificar as opções de personalização ou até mesmo inserir código malicioso através de campos vulneráveis. A extensão do impacto depende do nível de privilégios do usuário que está sendo explorado.
A vulnerabilidade foi divulgada em 22 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração. A severidade é classificada como média, indicando um risco moderado de exploração.
WordPress sites utilizing the Add Polylang support for Customizer plugin, particularly those with users who have administrative privileges or frequently interact with the plugin's settings, are at risk. Shared hosting environments where multiple users share the same WordPress installation are also more vulnerable.
• wordpress / composer / npm:
grep -r 'add_polylang_support_for_customizer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep add_polylang_support_for_customizer• wordpress / composer / npm:
wp plugin update --alldisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Add Polylang support for Customizer para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de mitigação temporárias, como a adição de tokens CSRF em todos os formulários do Customizer. Utilize um Web Application Firewall (WAF) com regras para bloquear requisições CSRF suspeitas. Verifique os logs do servidor em busca de padrões de requisições incomuns que possam indicar uma tentativa de exploração. Após a atualização, confirme a correção verificando se as requisições ao Customizer exigem autenticação e tokens CSRF válidos.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22462 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Add Polylang support for Customizer, permitindo que atacantes executem ações não autorizadas.
Sim, se você estiver usando o plugin Add Polylang support for Customizer nas versões de 0 até 1.4.5, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin Add Polylang support for Customizer para a versão mais recente. Se a atualização não for possível, implemente medidas de mitigação temporárias, como tokens CSRF.
Atualmente, não há informações sobre exploração ativa, mas a vulnerabilidade representa um risco potencial.
Consulte o site do desenvolvedor do plugin ou o repositório do WordPress para obter o advisory oficial e as informações de correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.