Plataforma
wordpress
Componente
perfmatters
Corrigido em
2.5.10
2.6.0
A vulnerabilidade CVE-2026-4351 é um problema de Path Traversal descoberto no plugin Perfmatters para WordPress. Essa falha permite que um atacante autenticado, com permissões de Subscriber ou superiores, sobrescreva arquivos arbitrários no servidor. A vulnerabilidade afeta todas as versões do plugin até a 2.5.9, e foi corrigida na versão 2.6.0.
Um atacante explorando com sucesso essa vulnerabilidade pode obter controle sobre o servidor WordPress. Ao sobrescrever arquivos críticos, como o arquivo wp-config.php, o atacante pode obter acesso às credenciais do banco de dados, permitindo o acesso completo ao site e seus dados. A sobreescrita de outros arquivos pode levar à execução remota de código ou à negação de serviço. A facilidade de exploração, combinada com a ampla utilização do plugin Perfmatters, torna essa vulnerabilidade particularmente preocupante.
A vulnerabilidade foi divulgada em 2026-04-10. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração e a popularidade do plugin aumentam o risco. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público é provável, dada a natureza da vulnerabilidade.
WordPress websites utilizing the Perfmatters plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable. Sites with outdated plugin versions or those lacking robust security practices are also at increased risk.
• wordpress / composer / npm:
grep -r "Snippet::update\(" /var/www/html/wp-content/plugins/perfmatters/• generic web:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=pmcs_action_handler&snippets%5B%5D=../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=all | grep perfmattersdisclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-4351 é atualizar o plugin Perfmatters para a versão 2.6.0 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin Perfmatters. Como medida adicional, implemente regras de firewall (WAF) para bloquear solicitações que contenham caracteres suspeitos nos parâmetros de URL relacionados às ações de ativação/desativação de snippets. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado.
Atualize para a versão 2.6.0, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4351 is a Path Traversal vulnerability affecting the Perfmatters WordPress plugin, allowing attackers to overwrite files. It impacts versions up to 2.5.9 and has a CVSS score of 8.1 (HIGH).
You are affected if you are using the Perfmatters plugin in WordPress versions 2.5.9 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Perfmatters plugin to version 2.6.0 or later. As a temporary workaround, restrict file access permissions and implement WAF rules to block suspicious requests.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly due to the vulnerability's severity.
Refer to the official Perfmatters plugin website and WordPress.org plugin repository for the latest security advisories and updates related to CVE-2026-4351.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.