Plataforma
wordpress
Componente
meta-box
Corrigido em
5.11.2
A vulnerabilidade CVE-2026-39468 afeta o plugin Meta Box para WordPress, permitindo acesso arbitrário de arquivos. Devido à falta de validação adequada do caminho do arquivo, atacantes autenticados com permissões de Contributor ou superiores podem deletar arquivos no servidor. Essa vulnerabilidade afeta versões do plugin até, e incluindo, 5.11.1, e a correção está disponível na versão 5.11.2.
Um atacante explorando esta vulnerabilidade pode deletar arquivos arbitrários no servidor WordPress. O impacto mais grave é a possibilidade de execução remota de código (RCE). Ao deletar arquivos críticos como wp-config.php, um atacante pode comprometer completamente o servidor, obtendo acesso não autorizado aos dados do site, modificando o conteúdo, instalando malware ou até mesmo assumindo o controle total do servidor. A facilidade de exploração, combinada com o alto impacto potencial, torna esta vulnerabilidade particularmente perigosa. A deleção de outros arquivos de configuração ou arquivos essenciais do WordPress também pode levar a interrupções significativas do serviço e perda de dados.
A vulnerabilidade foi divulgada em 2026-04-13. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração e o potencial de RCE tornam esta vulnerabilidade um alvo atraente para atacantes. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é relativamente simples. A vulnerabilidade não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento.
WordPress sites utilizing the Meta Box plugin, particularly those with a large number of users with Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites relying on older, unpatched versions of Meta Box are most exposed.
• wordpress / composer / npm:
wp plugin list --status=active | grep 'Meta Box'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status meta-box-plugin• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/meta-box/ -type f -name '*delete.php*'disclosure
Status do Exploit
Vetor CVSS
A mitigação primária é atualizar o plugin Meta Box para a versão 5.11.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso de usuários com permissões de Contributor, limitando suas capacidades de gerenciamento de arquivos. Implemente regras de firewall (WAF) para bloquear solicitações suspeitas que tentem acessar ou manipular arquivos sensíveis. Monitore os logs do servidor em busca de atividades incomuns, como tentativas de acesso a arquivos não autorizados. Após a atualização, verifique a integridade dos arquivos do WordPress e do plugin Meta Box para garantir que não foram comprometidos.
Atualize para a versão 5.11.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39468 is a HIGH severity vulnerability in the Meta Box WordPress plugin allowing authenticated users to delete files, potentially leading to remote code execution.
You are affected if you are using Meta Box version 5.11.1 or earlier. Upgrade to 5.11.2 or later to mitigate the risk.
Upgrade the Meta Box plugin to version 5.11.2 or later through the WordPress plugin management interface.
As of now, there are no confirmed reports of active exploitation, but the potential for RCE warrants prompt action.
Refer to the Meta Box plugin website and WordPress security announcements for the official advisory and further details.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.