CVE-2026-4121

Name of the Vulnerable Software and Affected Versions Kcaptcha versões anteriores a 1.0.2

Description O plugin Kcaptcha para WordPress está sujeito a Cross-Site Request Forgery. O problema existe no manipulador da página de configurações 'admin/setting.php' devido à falta de validação de nonce. Especificamente, o formulário de configurações não implementa um wp nonce field() e o código de processamento não utiliza wp verify nonce() ou check admin referer() antes de atualizar o banco de dados via $wpdb->update(). Isso permite que atacantes não autenticados modifiquem as configurações de CAPTCHA para login, registro, recuperação de senha e formulários de comentários, enganando um administrador do site para clicar em um link malicioso.

Recommendations Atualize para uma versão posterior a 1.0.1.