CVE-2026-4139

Name of the Vulnerable Software and Affected Versions mCatFilter versões anteriores a 0.5.3

Description O plugin mCatFilter para WordPress é suscetível a Cross-Site Request Forgery. A função compute post(), que processa atualizações de configurações, carece de verificação de nonce e verificações de capacidade. Esta função é executada em cada carregamento de página através do hook plugins loaded e processa dados de $ POST para modificar as configurações do plugin por meio de update option() sem validar um token CSRF. Consequentemente, atacantes não autenticados podem modificar as configurações do plugin, como regras de exclusão de categoria, sinalizadores de exclusão de feed e sinalizadores de exclusão de página de tag, enganando um administrador do site para clicar em um link malicioso.

Recommendations Atualize para uma versão posterior a 0.5.2. Como medida paliativa temporária, restrinja o acesso à função compute post() ou ao hook plugins loaded até que uma correção seja aplicada.