Plataforma
wordpress
Componente
totalpoll-lite
Corrigido em
4.12.1
A vulnerabilidade CVE-2026-27044 é uma falha de Inclusão de Código Remoto (RCE) descoberta no plugin Total Poll Lite, um componente para WordPress. Essa falha permite que atacantes incluam código malicioso remotamente, potencialmente comprometendo a segurança do servidor web. As versões afetadas são aquelas desde a versão 0.0.0 até a 4.12.0. A correção foi publicada em 2026-03-25.
Um atacante explorando esta vulnerabilidade pode executar código arbitrário no servidor WordPress onde o plugin Total Poll Lite está instalado. Isso pode levar ao comprometimento completo do servidor, incluindo a exfiltração de dados sensíveis, a instalação de malware e a utilização do servidor para ataques a outros sistemas. A inclusão de código remoto permite a execução de comandos do sistema operacional, contornando as proteções de segurança do WordPress. Dada a natureza crítica da vulnerabilidade, o impacto pode ser devastador para organizações que utilizam o Total Poll Lite.
A vulnerabilidade CVE-2026-27044 foi divulgada em 2026-03-25. A probabilidade de exploração é considerada alta devido à facilidade de exploração e ao impacto significativo. Não há informações disponíveis sobre campanhas de exploração ativas no momento da redação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
WordPress websites utilizing the Total Poll Lite plugin, particularly those running versions 0.0.0 through 4.12.0, are at significant risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. Sites with weak file access controls or inadequate security monitoring are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep total-poll-lite• wordpress / composer / npm:
grep -r 'include($_REQUEST' /var/www/html/wp-content/plugins/total-poll-lite/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/total-poll-lite/ | grep 'Remote Code Inclusion'disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-27044 é a atualização imediata do plugin Total Poll Lite para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Como medida adicional, implemente regras de firewall (WAF) para bloquear solicitações suspeitas que tentem incluir arquivos remotos. Monitore os logs do servidor em busca de atividades incomuns, como tentativas de inclusão de arquivos não autorizados. A verificação após a atualização deve ser feita confirmando que a versão do plugin Total Poll Lite foi atualizada com sucesso e que não há erros nos logs do servidor.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27044 is a critical Remote Code Execution vulnerability in the Total Poll Lite WordPress plugin, allowing attackers to execute arbitrary code via Remote Code Inclusion.
You are affected if your WordPress site uses Total Poll Lite versions 0.0.0 through 4.12.0. Upgrade immediately when a patch is available.
Upgrade to the latest version of Total Poll Lite as soon as a patch is released by the vendor. Temporarily disable the plugin until the update is applied.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest it is highly likely to be targeted.
Check the Total Poll Lite website and WordPress plugin repository for official advisories and updates related to CVE-2026-27044.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.