CVE-2026-4139 in mCatFilter Plugininformation

Résumé

par VulDB • 01/06/2026

Le plugin mCatFilter pour WordPress est vulnérable à une attaque par falsification de requête intersites (CSRF) dans toutes les versions allant jusqu'à la 0.5.2 incluse. Cela est dû à l'absence totale de vérification des jetons nonces et de contrôles de capacité dans la fonction compute_post(), qui traite les mises à jour des paramètres. La fonction compute_post() est appelée dans le constructeur du plugin à chaque chargement de page via le hook plugins_loaded, et elle traite directement les données $_POST pour modifier les paramètres du plugin via update_option() sans aucune validation de jeton CSRF. Cela permet aux attaquants non authentifiés de modifier tous les paramètres du plugin, y compris les règles d'exclusion de catégorie, les indicateurs d'exclusion de flux et les indicateurs d'exclusion de page de balise, via une requête POST falsifiée, à condition qu'ils puissent inciter un administrateur du site à effectuer une action telle que cliquer sur un lien.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

13/03/2026

Divulgation

22/04/2026

Modérer

accepté

Entrée

VDB-358814

CPE

prêt

EPSS

0.00007

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4139
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4139
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4139/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!