CVE-2026-3772

Nome do Software Vulnerável e Versões Afetadas WP Editor versões anteriores a 1.2.9.3

Descrição O plugin WP Editor para WordPress é suscetível a Cross-Site Request Forgery (CSRF), uma falha na qual um invasor engana a vítima para realizar ações que ela não pretendia. Isso ocorre porque as funções add plugins page() e add themes page() carecem de verificação de nonce (um token único usado para prevenir ataques de repetição). Consequentemente, invasores não autenticados podem sobrescrever arquivos PHP arbitrários de plugins e temas com código malicioso, induzindo um administrador do site a clicar em um link forjado.

Recomendações Atualize para uma versão posterior à 1.2.9.2. Como medida paliativa temporária, restrinja o acesso às funções add plugins page() e add themes page() para minimizar o risco de exploração.