Plataforma
wordpress
Componente
under-construction-maintenance-mode
Corrigido em
2.1.2
2.1.2
O plugin Under Construction, Coming Soon & Maintenance Mode para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF). Essa falha permite que atacantes não autenticados realizem ações não autorizadas, como modificar configurações ou excluir conteúdo, se conseguirem enganar um administrador do site para executar essas ações. A vulnerabilidade afeta versões do plugin até a 2.1.1, sendo corrigida na versão 2.1.2.
Um atacante pode explorar essa vulnerabilidade de XSRF para realizar ações em nome de um administrador do site WordPress sem a necessidade de credenciais. Isso pode incluir a alteração de configurações do plugin, a exclusão de páginas ou posts, ou até mesmo a instalação de código malicioso. O impacto é ampliado se o administrador do site clicar em um link malicioso enquanto estiver logado no WordPress, permitindo que o atacante execute ações com os mesmos privilégios do administrador. A falta de validação adequada de nonce torna a exploração relativamente simples, aumentando o risco de comprometimento do site.
A vulnerabilidade foi divulgada em 2026-04-07. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 4.3 (Média) indica uma probabilidade moderada de exploração, especialmente considerando a popularidade do plugin e a relativa facilidade de exploração de vulnerabilidades XSRF. A ausência de um KEV listing sugere que a CISA ainda não considera essa vulnerabilidade como uma ameaça crítica, mas a correção deve ser priorizada.
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Under Construction, Coming Soon & Maintenance Mode para a versão 2.1.2 ou superior, que corrige a vulnerabilidade de XSRF. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) com regras para bloquear solicitações XSRF. Além disso, revise as permissões de usuário no WordPress para garantir que apenas usuários autorizados tenham acesso a funções críticas. Monitore os logs do servidor WordPress em busca de atividades suspeitas.
Atualize para a versão 2.1.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CSRF (Cross-Site Request Forgery) is a type of attack that forces an authenticated user to perform unwanted actions on a web application. The attacker leverages the user’s active session to execute commands.
If you are using a version of the 'Under Construction, Coming Soon & Maintenance Mode' plugin older than 2.1.2, your site is vulnerable. Verify the plugin version in your WordPress admin dashboard.
Immediately change the passwords of all users with administrator privileges. Perform a thorough scan of the site for modified files or suspicious activity. Restore the site from a clean backup if possible.
There are web security scanning tools that can detect CSRF vulnerabilities, although effectiveness may vary. Consider using a WordPress security plugin that includes vulnerability scanning capabilities.
No, a KEV is not currently available for this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.