CVE-2026-6400

Nome do Software Vulnerável e Versões Afetadas Child Height Predictor by Ostheimer versões anteriores a 1.4

Descrição O plugin é suscetível a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana um usuário para realizar ações que ele não pretendia. Isso ocorre porque a função options(), que gerencia as atualizações de configurações do plugin, carece de verificação de nonce. Um nonce é um token único usado para garantir que uma solicitação foi enviada intencionalmente pelo usuário. Especificamente, o modelo do formulário não possui uma chamada wp nonce field() e o manipulador não utiliza check admin referer() ou wp verify nonce(). Consequentemente, invasores não autenticados podem enganar um administrador do site para clicar em um link malicioso ou visitar uma página que envie uma solicitação POST forjada, levando a alterações não autorizadas nas configurações do plugin, como preferências de unidade, sendo salvas no banco de dados via update option().

Recomendações Atualize o plugin para uma versão posterior a 1.3. Como medida paliativa temporária, restrinja o acesso à página de configurações do plugin apenas a administradores confiáveis até que a atualização seja aplicada.