Plataforma
wordpress
Componente
busiprof
Corrigido em
2.5.3
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no Busiprof, um plugin para WordPress. Essa falha permite que um atacante envie um web shell para o servidor web, potencialmente comprometendo a aplicação e os dados. A vulnerabilidade afeta versões do Busiprof desde a versão inicial (0.0.0) até a versão 2.5.2. A versão corrigida, 2.5.3, já está disponível.
A exploração bem-sucedida desta vulnerabilidade CSRF permite a um atacante, sem autenticação, enviar um web shell para o servidor web onde o Busiprof está instalado. Um web shell é um script malicioso que permite ao atacante executar comandos arbitrários no servidor, efetivamente obtendo controle total sobre a aplicação e, possivelmente, o sistema operacional subjacente. Isso pode levar ao roubo de dados sensíveis, modificação de arquivos, instalação de malware e outras atividades maliciosas. O impacto é severo, pois um atacante pode comprometer a integridade e a confidencialidade dos dados, além de causar interrupção do serviço. A capacidade de upload de web shells é um padrão de ataque comum, similar a explorações que visam a execução remota de código.
Esta vulnerabilidade foi divulgada em 2026-04-08. A probabilidade de exploração é considerada alta (EPSS: High) devido à facilidade de exploração de vulnerabilidades CSRF e à possibilidade de upload de web shells. Não há informações disponíveis sobre campanhas de exploração ativas ou a existência de Proof-of-Concept (PoC) públicos no momento da redação. A vulnerabilidade foi adicionada ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA.
Status do Exploit
EPSS
0.02% (percentil 5%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Busiprof para a versão 2.5.3 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Configure regras no seu Web Application Firewall (WAF) para bloquear requisições suspeitas que tentem enviar arquivos para o servidor. Revise as permissões de arquivo e diretório para garantir que o plugin Busiprof não tenha permissões de escrita desnecessárias. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de upload de arquivos desconhecidos. Após a atualização, confirme a correção verificando se a funcionalidade de upload de arquivos está restrita e requer autenticação adequada.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39619 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Busiprof versions 0.0.0–2.5.2. It allows attackers to upload a web shell, potentially leading to remote code execution.
Yes, if you are running Busiprof versions 0.0.0 through 2.5.2, you are affected by this vulnerability. Immediately assess your systems and apply the necessary updates.
The recommended fix is to upgrade Busiprof to version 2.5.3 or later. If upgrading is not possible, implement temporary workarounds like input validation and CSRF protection.
While no widespread exploitation has been publicly reported, the high CVSS score indicates a high probability of exploitation. Proactive remediation is strongly advised.
Refer to the Busiprof official website or security advisory channels for the most up-to-date information and guidance regarding CVE-2026-39619.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.