Plataforma
wordpress
Componente
add-custom-fields-to-media
Corrigido em
2.0.4
Uma vulnerabilidade de Cross-Site Request Forgery (XSRF) foi descoberta no plugin Add Custom Fields to Media para WordPress. Essa falha permite que atacantes não autenticados removam campos de mídia personalizados através de requisições forjadas, explorando a falta de validação de nonce na funcionalidade de exclusão de campos. A vulnerabilidade afeta versões do plugin de 0.0.0 até 2.0.3 e foi corrigida na versão 2.0.4.
A exploração bem-sucedida desta vulnerabilidade XSRF permite que um atacante, sem a necessidade de autenticação, execute ações em nome de um usuário autenticado no WordPress. No contexto do plugin Add Custom Fields to Media, isso significa que um atacante pode remover campos de mídia personalizados configurados por administradores ou outros usuários com permissões adequadas. A perda desses campos pode interromper o funcionamento de sites que dependem dessas customizações para gerenciar e exibir conteúdo de mídia. Embora a remoção de campos em si possa não parecer crítica, a vulnerabilidade demonstra uma falha fundamental na validação de entrada, o que pode abrir portas para outras explorações mais graves no futuro, como a modificação de configurações do plugin ou até mesmo a execução de código malicioso.
A vulnerabilidade foi divulgada publicamente em 2026-03-19. Não há evidências de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a natureza do XSRF a torna passível de exploração automatizada. A ausência de um KEV listing indica que a CISA ainda não considera esta vulnerabilidade como uma ameaça crítica, mas a correção deve ser priorizada devido à facilidade de exploração.
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Add Custom Fields to Media para a versão 2.0.4 ou superior, que corrige a falha de validação de nonce. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a utilização de um Web Application Firewall (WAF) configurado para bloquear requisições XSRF. Além disso, revise as permissões de usuário no WordPress para garantir que apenas usuários autorizados tenham acesso à funcionalidade de gerenciamento de campos de mídia. Monitore os logs do WordPress em busca de atividades suspeitas, como requisições de exclusão de campos de mídia originadas de fontes desconhecidas.
Atualizar para a versão 2.0.4, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4068 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no plugin Add Custom Fields to Media para WordPress, permitindo a remoção de campos personalizados via requisição forjada.
Sim, se você estiver usando o plugin Add Custom Fields to Media em versões de 0.0.0 a 2.0.3, você está afetado por esta vulnerabilidade.
Corrija atualizando o plugin para a versão 2.0.4 ou superior. Considere também medidas de proteção adicionais, como um WAF.
Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza do XSRF a torna passível de exploração automatizada.
Consulte o site do WordPress e o repositório de plugins para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.