Plataforma
wordpress
Componente
dx-unanswered-comments
Corrigido em
1.7.1
1.7.1
A vulnerabilidade CVE-2026-4138 afeta o plugin DX Unanswered Comments para WordPress, permitindo ataques de Cross-Site Request Forgery (XSRF). Essa falha ocorre devido à falta de validação de nonce no formulário de configurações do plugin, possibilitando a modificação indevida de parâmetros. Versões afetadas são aquelas anteriores ou iguais a 1.7. A correção envolve a atualização para uma versão mais recente do plugin.
Um atacante pode explorar essa vulnerabilidade para executar ações em nome de um administrador do site WordPress sem a sua permissão. Ao criar uma requisição forjada e induzir um administrador a clicar em um link malicioso, o atacante pode modificar as configurações do plugin DX Unanswered Comments, como a lista de autores e o número de comentários. Isso pode levar a alterações não autorizadas no comportamento do plugin, potencialmente comprometendo a integridade do site. A exploração bem-sucedida pode resultar em modificações na funcionalidade do plugin, impactando a gestão de comentários não respondidos.
O CVE-2026-4138 foi publicado em 2026-04-21. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A existência de um Proof of Concept (PoC) público não foi confirmada até o momento. A vulnerabilidade se enquadra em um cenário de risco moderado, dependendo da frequência com que os administradores do site interagem com o painel de administração.
WordPress websites utilizing the DX Unanswered Comments plugin, particularly those with administrative accounts that are susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'dxuc-unanswered-comments-admin-page.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep "DX Unanswered Comments"• wordpress / composer / npm:
wp plugin update --all• generic web: Inspect the plugin's admin page source code for missing nonce attributes in forms.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin DX Unanswered Comments para a versão mais recente, que corrige a vulnerabilidade XSRF. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a restrição de acesso ao painel de administração do WordPress e a utilização de um firewall de aplicação web (WAF) para bloquear requisições maliciosas. Além disso, revise as configurações do plugin para garantir que não haja alterações suspeitas. Após a atualização, verifique as configurações do plugin para confirmar que foram restauradas aos valores desejados.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4138 is a Cross-Site Request Forgery (XSRF) vulnerability affecting the DX Unanswered Comments WordPress plugin versions up to 1.7, allowing attackers to modify plugin settings via forged requests.
You are affected if your WordPress site uses the DX Unanswered Comments plugin and is running version 1.7 or earlier. Upgrade to a patched version as soon as possible.
Upgrade the DX Unanswered Comments plugin to a version that addresses the nonce validation issue. A specific fixed version is not provided, so monitor for updates.
While no active exploitation is confirmed, the vulnerability is relatively easy to exploit and requires only social engineering, making it a potential target.
Refer to the WordPress plugin repository and the DX Unanswered Comments plugin developer's website for updates and advisories related to CVE-2026-4138.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.