Plataforma
wordpress
Componente
quran-translations-by-edc
Corrigido em
1.7.1
1.7.1
O plugin Quran Translations para WordPress apresenta uma vulnerabilidade de Cross-Site Request Forgery (XSRF) que pode permitir a um atacante não autenticado modificar as configurações do plugin. Essa falha ocorre devido à ausência de validação de nonce na função quranplaylistoptions(), que processa as opções do plugin. As versões afetadas são aquelas anteriores ou iguais a 1.7. A correção recomendada é a atualização para uma versão corrigida do plugin.
Um atacante pode explorar essa vulnerabilidade para modificar as configurações do plugin Quran Translations sem a necessidade de autenticação. Isso pode incluir a ativação ou desativação de opções de exibição para PDF, RSS, podcast e links de media player, alterando o comportamento do plugin e potencialmente comprometendo a integridade do site WordPress. A ausência de validação de nonce torna o processo de modificação de configurações vulnerável a ataques XSRF, onde um atacante pode induzir um usuário autenticado a executar ações indesejadas sem o seu conhecimento. A exploração bem-sucedida pode levar a alterações na funcionalidade do site e, em casos mais graves, a um comprometimento da segurança do servidor.
Esta vulnerabilidade foi divulgada em 2026-04-07. Não há informações disponíveis sobre a adição a KEV ou sobre a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade XSRF a torna potencialmente explorável. É recomendado monitorar fontes de inteligência de ameaças para identificar possíveis campanhas de exploração.
WordPress websites utilizing the Quran Translations plugin, particularly those running versions 1.7 or earlier, are at risk. Shared hosting environments where plugin updates are not consistently managed are also at increased risk, as are sites with weak access controls to the WordPress admin panel.
• wordpress / composer / npm:
grep -r 'quran_playlist_options' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep quran-translations• wordpress / composer / npm:
wp plugin list | grep quran-translationsdisclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização do plugin Quran Translations para uma versão corrigida, assim que estiver disponível. Enquanto a atualização não estiver disponível, medidas de mitigação podem ser implementadas. Uma opção é a utilização de um Web Application Firewall (WAF) configurado para bloquear requisições XSRF. Outra medida é a implementação de validação de nonce em todas as requisições POST para a página de configurações do plugin, garantindo que apenas requisições legítimas sejam processadas. Verifique se o WordPress Core está atualizado para a versão mais recente, pois isso pode incluir proteções adicionais contra XSRF. Após a atualização, confirme a correção verificando se as requisições POST para a página de configurações do plugin agora incluem um nonce válido.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4141 is a Cross-Site Request Forgery vulnerability in the Quran Translations WordPress plugin, allowing attackers to modify settings without authentication in versions up to 1.7.
You are affected if your WordPress site uses the Quran Translations plugin version 1.7 or earlier. Upgrade to a patched version to resolve the issue.
Upgrade the Quran Translations plugin to a version newer than 1.7. Consider WAF rules and restricted access to the settings page as temporary mitigations.
There is currently no evidence of active exploitation campaigns targeting CVE-2026-4141.
Check the official Quran Translations plugin page on WordPress.org for updates and security advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.