Plataforma
wordpress
Componente
appointment
Corrigido em
3.5.6
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Appointment para WordPress. Esta falha permite que um atacante explore a funcionalidade de upload do plugin para enviar um Web Shell para o servidor web. Versões afetadas incluem todas as versões de 0.0.0 até 3.5.5. A correção foi disponibilizada, e a atualização para a versão mais recente é a solução recomendada.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante, sem a necessidade de autenticação, envie um Web Shell para o servidor web. Um Web Shell é um script malicioso que permite ao atacante executar comandos arbitrários no servidor, potencialmente comprometendo todo o sistema. Isso pode levar à exfiltração de dados sensíveis, modificação de arquivos, instalação de malware adicional e controle total do servidor. A severidade CRÍTICA desta vulnerabilidade reflete o alto risco de impacto e a facilidade de exploração.
A vulnerabilidade foi divulgada em 2026-04-08. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração é conceitualmente simples.
Status do Exploit
EPSS
0.01% (percentil 1%)
Vetor CVSS
A mitigação primária é a atualização imediata do plugin Appointment para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de mitigação adicionais, como a validação rigorosa de todas as solicitações de upload, a implementação de políticas de Content Security Policy (CSP) para restringir a execução de scripts e a utilização de um Web Application Firewall (WAF) para bloquear solicitações maliciosas. Monitore os logs do servidor em busca de atividades suspeitas relacionadas ao upload de arquivos.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39620 is a critical Cross-Site Request Forgery (CSRF) vulnerability affecting priyanshumittal Appointment versions 0.0.0–3.5.5. It allows attackers to upload a web shell, potentially leading to remote code execution.
If you are using priyanshumittal Appointment version 0.0.0 through 3.5.5, you are potentially affected by this vulnerability. Assess your environment and implement mitigations immediately.
The recommended fix is to upgrade to a patched version of priyanshumittal Appointment as soon as it becomes available. Until then, implement strict input validation and CSRF protection measures.
While there are no confirmed reports of active exploitation at this time, the CRITICAL severity and potential for RCE suggest a high likelihood of exploitation once public POCs become available.
Check the priyanshumittal Appointment website and relevant security mailing lists for official advisories and updates regarding CVE-2026-39620.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.