# CVE-2026-2941 - WordPress Linksy Plugin Privilege Escalation > [!high] CVSS 8.8 - Escalação de privilégio no WordPress via plugin Linksy · Subscriber pode elevar para admin · Patch disponível ## Visão Geral A CVE-2026-2941 é uma vulnerabilidade de escalação de privilégios no plugin WordPress Linksy Search and Replace (versões até 1.0.4). A falha permite que qualquer usuário com papel de subscriber - o nível mínimo de permissão em instalações WordPress com registro aberto - atualize a capacidade `wp_capabilities` para obter permissões de administrador completo, comprometendo totalmente o site sem necessidade de exploração técnica sofisticada. O patch foi lançado em 21 de março de 2026 com a versão 1.0.5, e o advisory foi públicado pela Wordfence Intelligence. Embora o EPSS seja baixo (13º percentil), a facilidade de exploração e a prevalência do WordPress como plataforma web dominante justificam atenção imediata por organizações que utilizam o plugin afetado. > [!latam] Relevância para Brasil e LATAM > O WordPress domina o ecossistema web brasileiro, utilizado por portais de notícias, e-commerce, fintechs, sites corporativos e órgãos governamentais municipais. Qualquer instalação com o plugin afetado e registro de usuários habilitado é vulnerável a comprometimento total por qualquer conta registrada - incluindo visitantes casuais. ## Resumo **CVE-2026-2941** é uma vulnerabilidade de escalação de privilégios no plugin WordPress **Linksy Search and Replace** (versões ≤ 1.0.4). A falha permite que usuários com papel de subscriber (nível mínimo de permissão) atualizem a capacidade `wp_capabilities` para obter permissões de administrador total, comprometendo completamente o site WordPress. A vulnerabilidade é especialmente relevante no contexto LATAM/Brasil devido à dominância do WordPress no ecossistema web brasileiro - qualquer site com o plugin afetado e registro de usuários habilitado é vulnerável. **Pontuação de risco:** - CVSS v3.1: **8.8** (Alto) - EPSS: **~62%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: não listado - Exploit público: não confirmado públicamente ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Escalação de privilégios:** elevar conta de subscriber para administrador do WordPress - **Comprometimento total do site:** instalar plugins maliciosos, modificar temas, criar backdoors - **Defacement:** alterar conteúdo do site - **Persistência:** criar contas de administrador adicionais para acesso permanente **Impacto para organizações LATAM/Brasil:** O WordPress domina o ecossistema web brasileiro, sendo utilizado por e-commerce, fintechs, portais de notícias, sites corporativos e órgãos governamentais. Plugins de search & replace são comuns em fluxos de desenvolvimento e migração. Um atacante com acesso básico de usuário pode obter controle administrativo total de sites afetados. Alta relevância para setores [[technology]] e [[financial]] que operam plataformas WordPress com usuários registrados. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | WordPress | Linksy Search and Replace (plugin) | ≤ 1.0.4 | 1.0.5 ou superior | **Não afetado:** versão 1.0.5+ do plugin; sites que desabilitaram registro de usuários. ## Patch e Mitigação **Patch oficial:** - Advisory: Wordfence Intelligence - CVE-2026-2941 - Versão corrigida: 1.0.5+ - Data de lançamento do patch: **2026-03-21** **Como aplicar:** 1. Verificar versão atual: Plugins → Linksy Search and Replace → versão instalada 2. Atualizar: Plugins → Atualizações disponíveis 3. Verificar usuários com permissões anômalas pós-patch: `SELECT user_login, meta_value FROM wp_usermeta WHERE meta_key = 'wp_capabilities'` 4. Revogar permissões excessivas detectadas **Mitigações temporárias:** - Desabilitar o plugin até aplicação do patch - Desabilitar registro público de usuários se não for necessário - Auditar usuários existentes por escalação de privilégios não autorizada ## Exploração Ativa **Status atual:** Sem evidências de exploração ativa confirmada - CVSS 8.8 justifica remediação urgente ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-4314|CVE-2026-4314]] · [[cve-2026-3334|CVE-2026-3334]] · [[cve-2026-1313|CVE-2026-1313]] · [[cve-2026-3629|CVE-2026-3629]] **TTPs relacionadas:** [[t1078-valid-accounts|T1078]] · [[t1136-create-account|T1136]] · [[t1505-003-web-shell|T1505.003]] **Setores em risco:** [[technology]] · [[financial]] ## Referências - [Wordfence - CVE-2026-2941](https://www.wordfence.com/threat-intel/vulnerabilities/id/0bf117e2-9e59-4028-b77f-7fce2e7174f3) - 2026-03-21