Plataforma
wordpress
Componente
newsexo
Corrigido em
7.1.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin NewsExo para WordPress. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo a integridade dos dados e configurações do site. A vulnerabilidade afeta versões do NewsExo de 0.0.0 até 7.1. A atualização para a versão corrigida é a solução recomendada.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize diversas ações maliciosas, como alterar as configurações do plugin NewsExo, publicar conteúdo falso ou até mesmo excluir dados. O impacto pode variar dependendo das permissões do usuário afetado. Um atacante poderia, por exemplo, alterar a página inicial do site, redirecionar usuários para sites maliciosos ou injetar código malicioso. A ausência de proteção CSRF adequada torna o NewsExo vulnerável a esses ataques, especialmente em ambientes onde os usuários utilizam senhas fracas ou reutilizam credenciais.
A vulnerabilidade foi divulgada em 2026-04-08. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A probabilidade de exploração depende da popularidade do plugin NewsExo e da conscientização da comunidade sobre a vulnerabilidade.
Websites using the NewsExo WordPress plugin, particularly those with user accounts and sensitive data managed through the plugin, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / plugin:
grep -r 'newsExo_ajax_nonce' /var/www/html/wp-content/plugins/• wordpress / plugin:
wp plugin list --status=inactive | grep NewsExo• wordpress / plugin: Check for unusual or unauthorized actions within the NewsExo plugin's admin interface.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
Vetor CVSS
A principal mitigação para esta vulnerabilidade é atualizar o plugin NewsExo para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, considere implementar medidas de proteção CSRF adicionais, como a utilização de tokens CSRF em todos os formulários e requisições críticas. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear requisições CSRF também pode ajudar a reduzir o risco. Além disso, revise as permissões dos usuários e reforce a política de senhas para dificultar a exploração da vulnerabilidade.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39618 is a Cross-Site Request Forgery (CSRF) vulnerability affecting NewsExo WordPress plugin versions 0.0.0 through 7.1, allowing attackers to perform unauthorized actions.
If you are using NewsExo WordPress plugin versions 0.0.0 to 7.1, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade the NewsExo WordPress plugin to the latest available version from the WordPress plugin repository. Consider implementing CSP headers and server-side CSRF protection as temporary workarounds.
There is currently no evidence of active exploitation, but the vulnerability is publicly known and could be exploited.
Check the NewsExo plugin page on the WordPress plugin repository for updates and security advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.