Plataforma
wordpress
Componente
wp-user-avatar
Corrigido em
4.16.12
Uma vulnerabilidade de execução arbitrária de shortcodes foi descoberta no plugin ProfilePress para WordPress, afetando versões de 0.0.0 até 4.16.11. Atacantes não autenticados podem explorar essa falha inserindo código malicioso em campos de faturamento durante o processo de checkout, resultando na execução de shortcodes arbitrários. A correção foi lançada na versão 4.16.12.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código PHP arbitrário no servidor WordPress. Isso pode levar ao comprometimento completo do site, incluindo a roubo de dados sensíveis, modificação de conteúdo, instalação de malware e até mesmo o controle total do servidor. A capacidade de executar shortcodes arbitrariamente contorna as proteções de segurança padrão do WordPress, tornando esta vulnerabilidade particularmente perigosa. Um atacante poderia, por exemplo, injetar código para redirecionar usuários para sites maliciosos, exibir conteúdo falso ou até mesmo executar comandos do sistema operacional.
Esta vulnerabilidade foi divulgada publicamente em 2026-04-04. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade (execução de shortcodes) a torna um alvo potencial para exploração automatizada. A ausência de um KEV listing indica que a CISA ainda não considera esta vulnerabilidade como uma ameaça iminente, mas a sua gravidade (CVSS 6.5) justifica a atenção e a correção.
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin ProfilePress para a versão 4.16.12 ou superior. Se a atualização imediata não for possível, considere desativar temporariamente o plugin ou restringir o acesso aos campos de faturamento. Implementar um Web Application Firewall (WAF) com regras para filtrar shortcodes suspeitos pode fornecer uma camada adicional de proteção. Monitore os logs do WordPress em busca de tentativas de execução de shortcodes não autorizados, especialmente aquelas originadas de campos de entrada do usuário. Verifique se a versão do PHP utilizada é a mais recente e segura, pois versões antigas podem ter vulnerabilidades que facilitam a exploração.
Atualize para a versão 4.16.12, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3309 é uma vulnerabilidade no plugin ProfilePress para WordPress que permite a atacantes executar código PHP arbitrário através da inserção de shortcodes maliciosos em campos de faturamento.
Se você estiver usando o plugin ProfilePress em uma versão inferior a 4.16.12, você está vulnerável a esta falha. Verifique a versão do seu plugin e atualize imediatamente.
A correção é atualizar o plugin ProfilePress para a versão 4.16.12 ou superior. Consulte a documentação oficial do plugin para obter instruções detalhadas.
Embora não haja confirmação de exploração ativa em campanhas direcionadas, a natureza da vulnerabilidade a torna um alvo potencial e a correção deve ser aplicada o mais rápido possível.
Consulte o site oficial do ProfilePress ou o repositório de plugins do WordPress para obter o aviso oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.