Plataforma
wordpress
Componente
wpforo
Corrigido em
2.4.17
O plugin wpForo Forum para WordPress apresenta uma vulnerabilidade de acesso arbitrário de arquivos. Essa falha permite que atacantes autenticados, com permissões de assinante ou superiores, excluam arquivos arbitrários no servidor. A vulnerabilidade afeta versões do plugin entre 0.0.0 e 2.4.16, e a correção foi disponibilizada na versão 2.4.17.
Um atacante autenticado, com nível de acesso de assinante ou superior, pode explorar essa vulnerabilidade para excluir arquivos críticos no servidor WordPress. Ao inserir uma string de caminho de acesso maliciosa no corpo de uma postagem do fórum e, em seguida, excluir a postagem, o atacante pode comprometer a integridade do sistema. A exclusão de arquivos de configuração ou arquivos essenciais do WordPress pode levar à interrupção do serviço ou à exposição de informações sensíveis. A gravidade da falha reside na possibilidade de acesso não autorizado e manipulação de dados no servidor.
A vulnerabilidade foi divulgada em 2026-04-04. Não há relatos públicos de exploração ativa no momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. A ausência de um Proof of Concept (PoC) público sugere um risco menor, mas a facilidade de exploração, uma vez que o atacante esteja autenticado, exige atenção.
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-3666 é a atualização imediata para a versão 2.4.17 do plugin wpForo Forum. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso de escrita a usuários com permissões elevadas. Implemente regras de firewall (WAF) para bloquear solicitações que contenham sequências de caminho de acesso suspeitas. Monitore os logs do WordPress em busca de tentativas de exclusão de arquivos incomuns. Após a atualização, verifique a integridade dos arquivos do WordPress e do plugin para garantir que não houve alterações maliciosas.
Atualize para a versão 2.4.17, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3666 is a HIGH severity vulnerability allowing authenticated subscribers to delete arbitrary files on a WordPress server through crafted forum posts. It affects wpForo Forum versions 0.0.0–2.4.16.
Yes, if your WordPress site uses the wpForo Forum plugin and is running version 2.4.16 or earlier, you are vulnerable. Check your plugin version immediately.
Upgrade the wpForo Forum plugin to version 2.4.17 or later. As a temporary workaround, restrict file upload permissions or implement stricter input validation on forum posts.
Currently, there is no public evidence of active exploitation campaigns targeting CVE-2026-3666, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official wpForo Forum website and WordPress plugin repository for the latest security advisory and update information related to CVE-2026-3666.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.