Relatório Semanal de Vulnerabilidades do WordPress – Wordfence Intelligence

Este é o relatório semanal de vulnerabilidades do WordPress elaborado pela Wordfence Intelligence, cobrindo novas vulnerabilidades divulgadas e adicionadas ao banco de dados do Wordfence Intelligence entre 26 de janeiro e 1 de fevereiro de 2026.

📊 Principais descobertas da semana

Durante esse período, diversas vulnerabilidades em plugins e temas para WordPress foram adicionadas ao banco de dados de vulnerabilidades do Wordfence Intelligence, com classificações que vão de críticas a médias — incluindo diversas que ainda não foram corrigidas oficialmente.

🛠️ Detalhes de Vulnerabilidades Relevantes

🔴 Críticas (CVSS 9.8)

1. Booked <= 3.0.0 – Bypass de autenticação

   • Classificação CVSS: 9.8 (Crítico)

   • Status: Não corrigido

   • Publicado: 29 de janeiro de 2026

   • Software afetado: Booked – Appointment Booking for WordPress

   • Risco: invasor pode ignorar autenticação.

2. Snow Monkey Forms <= 12.0.3 – Exclusão arbitrária de arquivos via Path Traversal

   • Classificação CVSS: 9.8 (Crítico)

   • Status: Corrigido

   • Publicado: 27 de janeiro de 2026

   • Software afetado: Snow Monkey Forms

   • Risco: pode permitir exclusão de arquivos arbitrários.

⚠️ Outras vulnerabilidades importantes

🔓 Alta gravidade

3. Search Atlas SEO – Bypass de autenticação via tomada de conta

   • CVSS: 8.8 (Alta)

   • Status: Não corrigido

   • Publicado: 27 de janeiro de 2026

   • Risco: elevação de privilégios.

4. Simple User Registration <= 6.7 – Escalação de privilégios autenticada

   • CVSS: 8.8 (Alta)

   • Status: Corrigido

   • Publicado: 27 de janeiro de 2026

   • Risco: usuário comum pode ganhar permissões maiores.

5. Capella <= 2.5.5 – Injeção de objeto PHP

   • CVSS: 8.1 (Alta)

   • Status: Não corrigido

   • Publicado: 29 de janeiro de 2026

   • Risco: possível execução de código malicioso.

6. KindlyCare <= 1.6.1 – Injeção de objeto PHP

   • CVSS: 8.1 (Alta)

   • Status: Não corrigido

   • Publicado: 29 de janeiro de 2026

   • Risco: risco de comprometimento de site.

7. PhotoMe <= 5.6.11 – Injeção de objeto PHP

   • CVSS: 8.1 (Alta)

   • Status: Não corrigido

   • Publicado: 27 de janeiro de 2026

   • Risco: vulnerabilidade de alto impacto.

🧪 Vulnerabilidades de média gravidade (CVSS ~7.5)

O relatório também incluiu várias vulnerabilidades com CVSS 7.5, sinalizando riscos moderados, como:

• SQL Injection em componentes como Allmart, Crete Core, Electio Core, Emerce Core, Woodly Core, WPJobster e outros.

• Exposição de funcionalidades não autorizadas em plugins como Frontend File Manager Plugin.

• Diversos desses ainda estão sem correção oficial publicada.

Essas falhas em geral permitem que um atacante explore falhas de validação ou autorização para executar ações que não deveriam ser permitidas.

📌 Observações gerais

• Se você executa o plugin Wordfence no seu site WordPress, e o scanner está ativo, você provavelmente já recebeu alertas automática sobre qualquer vulnerabilidade que o afete.

• Se desejar notificações em tempo real sempre que uma vulnerabilidade é adicionada ao banco de dados do Wordfence Intelligence, existem integrações gratuitas via Slack e HTTP Webhook.

🛡️ Resumo de recomendações

🔹 Atualize imediatamente plugins e temas com vulnerabilidades críticas ou de alta severidade.
🔹 Mantenha seu Wordfence atualizado, de preferência com regras de firewall mais recentes (especialmente em versões Premium).
🔹 Verifique relatórios semanais como este para reduzir risco de invasões ou exploração de vulnerabilidades conhecidas.

Fonte: Word Defense