CVE-2026-8904

Nome do Software Vulnerável e Versões Afetadas FastPicker versões anteriores a 1.0.3

Description O plugin FastPicker para WordPress está sujeito a Cross-Site Request Forgery. Isso ocorre porque a função settingsPage() carece de validação adequada de nonce, que é um token único usado para verificar se uma solicitação foi enviada intencionalmente pelo usuário. Isso permite que atacantes não autenticados modifiquem as configurações do plugin, como alternar a integração de webhook e alterar as URLs de API do FastPicker e KDZ, enganando um administrador do site para clicar em um link malicioso.

Recommendations Atualize o plugin para uma versão posterior a 1.0.2. Como mitigação temporária, restrinja o acesso administrativo à página de configurações do plugin apenas a redes confiáveis.