CVE-2026-2717

Name of the Vulnerable Software and Affected Versions HTTP Headers plugin for WordPress versões anteriores a 1.19.3

Description A sanitização insuficiente dos campos de nome e valor de cabeçalhos personalizados antes de serem gravados no arquivo .htaccess do Apache através da função insert with markers() permite que atacantes autenticados com nível de acesso de Administrador ou superior realizem a Injeção de CRLF. Isso envolve a inserção de caracteres de nova linha arbitrários e diretivas adicionais do Apache no arquivo de configuração .htaccess por meio das configurações de 'Custom Headers', o que pode resultar em erros de análise de configuração do Apache e em uma potencial negação de serviço em todo o site.

Recommendations Atualize o plugin para uma versão posterior a 1.19.2. Como medida paliativa temporária, restrinja o acesso às configurações de 'Custom Headers' para minimizar o risco de exploração.