CVE-2026-7615

Nome do Software Vulnerável e Versões Afetadas Widget Context plugin for WordPress versões anteriores a 1.3.4

Descrição O plugin é suscetível a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana a vítima para executar ações indesejadas. Isso ocorre porque a função save widget context settings() carece de validação adequada de nonce. Um nonce é um token único usado para verificar se uma solicitação foi enviada intencionalmente pelo usuário. Consequentemente, invasores não autenticados podem modificar as configurações de contexto de visibilidade do widget na tabela de opções do WordPress enviando uma solicitação POST forjada para o endpoint '/wp-admin/widgets.php', desde que consigam enganar um administrador do site para clicar em um link malicioso.

Recomendações Atualize o plugin para uma versão posterior a 1.3.3. Como medida paliativa temporária, restrinja o acesso ao endpoint '/wp-admin/widgets.php' ou à função save widget context settings() para minimizar o risco de exploração.