Publicações

CVE-2023-7048: CSRF para exportação de leads de contato no My Sticky Bar

Um problema de CSRF no My Sticky Bar que podia acionar a exportação CSV de leads a partir do navegador de um administrador.

CVE-2023-7048 é uma vulnerabilidade de cross-site request forgery no plugin My Sticky Bar para WordPress.

O aviso público diz que as versões até 2.6.6 inclusive eram vulneráveis por validação de nonce ausente ou incorreta em mystickymenu-contact-leads.php. Uma requisição forjada podia acionar a exportação CSV de leads de contato se um atacante convencesse um administrador do site a realizar uma ação, como clicar em um link.

Card de resumo do CVE-2023-7048 mostrando produto afetado, impacto e pontuação CVSS
CVE-2023-7048 afetava o My Sticky Bar até a versão 2.6.6 inclusive. Em junho de 2026, o WordPress.org lista o plugin com mais de 100.000 instalações ativas.

O bug

Bugs de CSRF são fáceis de subestimar porque normalmente não parecem dramáticos isoladamente. O problema não é que o atacante tenha acesso direto à ação administrativa. O problema é que o navegador de um administrador autenticado pode ser levado a fazer a requisição.

Neste caso, a ação podia exportar leads de contato para um arquivo CSV. A Wordfence observa que o CSV era escrito em uma localização pública por uma janela curta antes que a função de exportação o removesse automaticamente.

Por que importava

Essa era uma vulnerabilidade de baixa severidade, mas os dados envolvidos ainda importavam. Leads de contato podem conter nomes, endereços de email, números de telefone e conteúdo de mensagens, dependendo de como o dono do site configurou o plugin.

A parte interessante do achado era o comportamento de tempo e armazenamento. A exportação não precisava ficar pública para sempre para ser sensível. Um artefato público de curta duração ainda é uma exposição se um atacante consegue fazer com que ele exista e baixá-lo rápido o bastante.

Correção

O My Sticky Bar corrigiu o problema na versão 2.6.7. Donos de sites devem atualizar para 2.6.7 ou uma versão mais nova.

Referências