CVE-2026-4118

Name of the Vulnerable Software and Affected Versions Call To Action Plugin versões anteriores a 3.1.4

Description O plugin é suscetível a Cross-Site Request Forgery devido à falta de validação de nonce na função cbox options page(), que gerencia a gravação, criação e exclusão de configurações do plugin. O formulário da página de configurações não possui um wp nonce field(), e o manipulador de gravação não utiliza wp verify nonce() ou check admin referer() antes de processar atualizações via $wpdb->update(). Isso permite que atacantes não autenticados modifiquem opções de configuração, incluindo o título da caixa de chamada para ação, conteúdo, URL do link, URL da imagem e cores, enganando um administrador do site para clicar em um link forjado.

Recommendations Atualize para uma versão posterior a 3.1.3.