CVE-2026-4070

Nome do Software Vulnerável e Versões Afetadas Alfie – Feed Plugin for WordPress versões anteriores a 1.2.2

Descrição Ocorre Cross-Site Request Forgery devido à falta de validação de nonce na função alfie manage(), que gerencia a exclusão de feeds por meio do parâmetro GET 'delete'. Isso permite que atacantes não autenticados excluam dados arbitrários de feeds do plugin nas tabelas alfie colindex, alfie producten, alfie reactions e alfie searchproduct, enganando um administrador do site para clicar em um link forjado. A validação de nonce é um mecanismo de segurança usado para garantir que uma solicitação foi enviada intencionalmente pelo usuário e não forjada por terceiros.

Recomendações Atualize para uma versão posterior à 1.2.1. Como medida paliativa temporária, restrinja o acesso à função alfie manage() até que a atualização seja aplicada.