Plataforma
wordpress
Componente
minify-html-markup
Corrigido em
2.1.13
O plugin Minify HTML para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF) em todas as versões até, e incluindo, 2.1.12. Essa falha é causada pela falta ou validação incorreta de nonces na função 'minifyhtmlmenu_options'. Um atacante não autenticado pode explorar essa vulnerabilidade para alterar as configurações do plugin, desde que consiga enganar um administrador do site para executar uma ação, como clicar em um link malicioso.
A exploração bem-sucedida desta vulnerabilidade XSRF permite que um atacante execute ações em nome de um administrador do WordPress sem a necessidade de credenciais. Isso pode incluir a modificação de configurações do plugin Minify HTML, o que pode levar a alterações no comportamento do site, injeção de código malicioso ou até mesmo o comprometimento completo do site. Um atacante pode criar um link ou formulário malicioso que, quando acessado por um administrador, executa comandos não autorizados no servidor WordPress, alterando as configurações do plugin.
Esta vulnerabilidade foi divulgada em 2026-03-31. Não há relatos públicos de exploração ativa no momento. Não está listada no KEV (CISA Known Exploited Vulnerabilities) nem possui um EPSS score definido. A ausência de um PoC público não elimina o risco, pois a exploração XSRF é relativamente simples de implementar.
WordPress websites utilizing the Minify HTML plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'minify_html_menu_options' /var/www/html/wp-content/plugins/minify-html/includes/• wordpress / composer / npm:
wp plugin list | grep minify-html• wordpress / composer / npm:
wp plugin update minify-htmldisclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Minify HTML para a versão 2.1.13 ou superior, que corrige a falha de validação de nonce. Como atualização imediata pode causar problemas de compatibilidade, considere fazer um backup completo do site antes de atualizar. Implementar uma política de segurança de senhas fortes e habilitar a autenticação de dois fatores para contas de administrador pode ajudar a reduzir o risco de exploração. Monitore logs do WordPress em busca de atividades suspeitas, como alterações inesperadas nas configurações do plugin.
Atualize para a versão 2.1.13, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3191 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin Minify HTML para WordPress, permitindo que atacantes não autenticados modifiquem configurações do plugin.
Se você estiver usando o plugin Minify HTML em versões de 0.0.0 a 2.1.12, você está afetado por esta vulnerabilidade.
Atualize o plugin Minify HTML para a versão 2.1.13 ou superior para corrigir a vulnerabilidade. Faça um backup antes de atualizar.
Não há relatos públicos de exploração ativa no momento, mas a vulnerabilidade permanece um risco.
Consulte o site do WordPress e o repositório de plugins para obter informações e atualizações sobre esta vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.