CVE-2026-4118 in Call To Action Plugininformação

Sumário

de VulDB • 04/06/2026

O plugin Call To Action Plugin para WordPress é vulnerável a Cross-Site Request Forgery (CSRF) em todas as versões até, e incluindo, a 3.1.3. Isso ocorre devido à ausência de validação de nonce na função cbox_options_page(), que é responsável por salvar, criar e excluir as configurações do plugin. O formulário exibido na página de configurações não inclui um wp_nonce_field(), e o manipulador de salvamento não chama wp_verify_nonce() nem check_admin_referer() antes de processar as atualizações das configurações por meio de $wpdb->update(). Isso permite que atacantes não autenticados modifiquem as configurações do plugin, como o título da caixa de call-to-action, o conteúdo, a URL do link, a URL da imagem, as cores e outras opções de configuração, por meio de uma solicitação forjada, desde que consigam enganar um administrador do site para realizar uma ação, como clicar em um link.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

13/03/2026

Divulgação

22/04/2026

Moderação

aceite

Entrada

VDB-358803

CPE

pronto

EPSS

0.00010

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4118
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4118
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4118/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!