CVE-2026-8425

Nome do Software Vulnerável e Versões Afetadas Notify Odoo versões anteriores a 1.0.2

Descrição O plugin Notify Odoo para WordPress contém uma falha de Cross-Site Request Forgery (CSRF). Isso ocorre porque a função updateSettings() carece de validação adequada de nonce. Um nonce (número usado uma vez) é um token único usado para verificar se uma solicitação foi enviada intencionalmente pelo usuário. Consequentemente, invasores não autenticados podem enganar um administrador do site para clicar em um link e executar uma solicitação forjada. Isso permite que o invasor altere a URL do Notify Odoo para uma sob seu controle e modifique configurações relacionadas a notificações, imagens de rastreamento e endereços IP permitidos.

Recomendações Atualize o plugin para uma versão posterior a 1.0.1. Como medida paliativa temporária, restrinja o acesso à função updateSettings() para minimizar o risco de exploração.