CVE-2026-4133

Name of the Vulnerable Software and Affected Versions TextP2P Texting Widget versões anteriores a 1.8

Description O plugin TextP2P Texting Widget para WordPress é suscetível a Cross-Site Request Forgery. Isso ocorre porque a função imTextP2POptionPage(), que processa atualizações de configurações, carece de validação de nonce. Especificamente, o formulário não inclui um wp nonce field() e o manipulador POST não chama check admin referer() ou wp verify nonce() antes de processar as alterações. Isso permite que atacantes não autenticados atualizem as configurações do plugin, incluindo títulos do widget de chat, mensagens, credenciais de API, cores e configuração de reCAPTCHA, enganando um administrador do site para clicar em um link malicioso.

Recommendations Atualize o plugin para uma versão posterior a 1.7.