CVE-2026-8906

Nome do Software Vulnerável e Versões Afetadas WP Promoter versões anteriores a 1.4

Description O plugin WP Promoter para WordPress é suscetível a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana a vítima para realizar ações que ela não pretendia. Isso ocorre devido à validação de nonce ausente ou incorreta—um token de segurança usado para garantir que as solicitações sejam legítimas—em uma função. Atacantes não autenticados podem explorar isso para atualizar configurações e injetar scripts web maliciosos através do parâmetro popup width, induzindo um administrador do site a clicar em um link forjado.

Recommendations Atualize o plugin para uma versão posterior a 1.3.