CVE-2026-4139 in mCatFilter Plugininfo

Zusammenfassung

von VulDB • 01.06.2026

Das mCatFilter-Plugin für WordPress ist in allen Versionen bis einschließlich 0.5.2 anfällig für Cross-Site Request Forgery (CSRF). Dies ist auf das vollständige Fehlen von Nonce-Überprüfungen und Berechtigungsprüfungen in der Funktion `compute_post()` zurückzuführen, die Einstellungen-Updates verarbeitet. Die Funktion `compute_post()` wird im Plugin-Konstruktor bei jedem Seitenaufruf über den Hook `plugins_loaded` aufgerufen und verarbeitet direkt `$_POST`-Daten, um Plugin-Einstellungen über `update_option()` zu ändern, ohne eine CSRF-Token-Validierung durchzuführen. Dies ermöglicht es nicht authentifizierten Angreifern, alle Plugin-Einstellungen, einschließlich Ausschlussregeln für Kategorien, Ausschlussflags für Feeds und Ausschlussflags für Tag-Seiten, über eine gefälschte POST-Anfrage zu ändern, vorausgesetzt, sie können einen Website-Administrator dazu bringen, eine Aktion wie das Klicken auf einen Link auszuführen.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

13.03.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358814

CPE

bereit

EPSS

0.00007

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4139
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4139
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4139/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!