CVE-2026-6294

Name of the Vulnerable Software and Affected Versions Google PageRank Display versões anteriores a 1.5

Description O Cross-Site Request Forgery ocorre devido a a falta de validação de nonce na função gpdisplay option(), que gerencia a página de configurações do plugin. O formulário de configurações não possui um wp nonce field() e o manipulador não chama check admin referer() ou wp verify nonce() antes de processar requisições POST. Isso permite que atacantes não autenticados enganem um administrador conectado para enviar uma requisição forjada para modificar as configurações do plugin armazenadas via update option(), como o estilo de exibição do selo PageRank.

Recommendations Atualize para uma versão posterior a 1.4.