CVE-2026-6401

Nome do Software Vulnerável e Versões Afetadas Bottom Bar versões anteriores a 0.1.8

Descrição O plugin Bottom Bar para WordPress é suscetível a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana uma vítima para realizar ações que ela não pretendia fazer. O problema existe nos formulários de atualização de configurações gerenciados em 'bottom-bar-admin.php' porque carecem de verificação de nonce. Especificamente, os formulários de configurações principais, serviços de compartilhamento e restauração de padrões não incluem wp nonce field(), e o código do lado do servidor não chama check admin referer() ou validação equivalente antes de processar dados POST via update option(). Isso permite que invasores não autenticados enganem um administrador conectado para enviar uma solicitação forjada para modificar opções de configuração, incluindo configurações de idioma, contagens máximas de postagens ou serviços de compartilhamento habilitados.

Recomendações Atualize para uma versão posterior a 0.1.7. Como medida paliativa temporária, restrinja o acesso ao arquivo 'bottom-bar-admin.php' para minimizar o risco de exploração.