CVE-2026-8418

Nome do Software Vulnerável e Versões Afetadas Games Catalog versões anteriores a 1.2.1

Descrição O plugin Games Catalog para WordPress é suscetível a Cross-Site Request Forgery, uma falha onde um invasor engana a vítima para realizar ações que ela não pretendia. Isso ocorre porque a função gc crud() não valida adequadamente os nonces — tokens exclusivos usados para verificar se uma solicitação é legítima — ao processar o parâmetro action com o valor delete via solicitação GET. Consequentemente, invasores não autenticados podem excluir entradas arbitrárias do catálogo de jogos e suas postagens associadas do WordPress, induzindo um administrador do site a clicar em um link malicioso.

Recomendações Atualize o plugin para uma versão posterior a 1.2.0. Como medida paliativa temporária, restrinja o acesso à função gc crud() ou evite usar o parâmetro action com o valor delete até que a atualização seja aplicada.