Plataforma
wordpress
Componente
taboola-pixel
Corregido en
1.1.5
La vulnerabilidad CVE-2026-32545 es una falla de inyección de scripts entre sitios (XSS) reflejado que afecta a Taboola Pixel en versiones n/a hasta la 1.1.4. Esta falla permite a un atacante inyectar código malicioso en páginas web, comprometiendo la seguridad de los usuarios. La actualización a la versión 1.1.5 soluciona esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web que utilizan Taboola Pixel. Estos scripts pueden robar información confidencial de los usuarios, como cookies de sesión, credenciales de inicio de sesión o datos personales. Además, el atacante podría redirigir a los usuarios a sitios web maliciosos, realizar acciones en su nombre o alterar el contenido de la página web. La inyección de XSS reflejado puede ser particularmente peligrosa en entornos donde Taboola Pixel se utiliza para rastrear el comportamiento del usuario, ya que permite a los atacantes manipular los datos de seguimiento y obtener información valiosa sobre los usuarios.
Esta vulnerabilidad fue publicada el 2026-03-25. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. La presencia de un vector de ataque reflejado significa que un atacante necesita engañar a un usuario para que haga clic en un enlace malicioso. Se recomienda monitorear los logs del servidor en busca de patrones de ataque XSS.
Websites utilizing the Taboola Pixel component, particularly those with user-supplied input that is not properly sanitized before being used within the Taboola Pixel, are at risk. Shared hosting environments where multiple websites share the same Taboola Pixel installation are also potentially vulnerable, as a compromise on one site could impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/taboola-pixel/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep taboola-pixeldisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La solución principal es actualizar Taboola Pixel a la versión 1.1.5 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas medidas pueden incluir la validación y el saneamiento de todas las entradas de usuario antes de ser utilizadas en la generación de páginas web. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan código malicioso. Es importante revisar y ajustar las reglas del WAF para garantizar que bloqueen eficazmente los intentos de explotación de XSS. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración.
Actualizar a la versión 1.1.5 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32545 is a Reflected XSS vulnerability in Taboola Pixel, allowing attackers to inject malicious scripts via crafted URLs. It affects versions up to 1.1.4 and has a CVSS score of 7.1 (HIGH).
You are affected if you are using Taboola Pixel versions prior to 1.1.5 and have not implemented adequate input validation and output encoding.
Upgrade Taboola Pixel to version 1.1.5 or later. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-32545, but the vulnerability remains a potential risk.
Please refer to the official Taboola security advisory for detailed information and updates regarding CVE-2026-32545.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.