Plateforme
wordpress
Composant
taboola-pixel
Corrigé dans
1.1.5
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans Taboola Pixel, permettant à un attaquant d'injecter des scripts malveillants dans les pages web. Cette faille, classée avec une sévérité élevée (CVSS 7.1), affecte les versions de Taboola Pixel inférieures ou égales à 1.1.4. Une version corrigée, la 1.1.5, est désormais disponible pour remédier à ce problème.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web affichant le Taboola Pixel. Cela peut conduire au vol de cookies de session, au détournement de session utilisateur, à la modification du contenu de la page web, ou à la redirection des utilisateurs vers des sites malveillants. L'attaquant peut potentiellement compromettre la confidentialité des données des utilisateurs et l'intégrité de l'application web. Le risque est amplifié si le Taboola Pixel est utilisé sur des sites web sensibles ou contenant des informations personnelles.
Cette vulnérabilité a été rendue publique le 25 mars 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de XSS rend cette vulnérabilité potentiellement dangereuse. Il est recommandé d'appliquer les correctifs ou les mesures d'atténuation dès que possible. Cette vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Websites utilizing the Taboola Pixel component, particularly those with user-supplied input that is not properly sanitized before being used within the Taboola Pixel, are at risk. Shared hosting environments where multiple websites share the same Taboola Pixel installation are also potentially vulnerable, as a compromise on one site could impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/taboola-pixel/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep taboola-pixeldisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour Taboola Pixel vers la version 1.1.5 ou supérieure. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place, telles que la validation stricte de toutes les entrées utilisateur avant de les afficher sur la page web. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les attaques XSS peut également aider à protéger l'application. Vérifiez après la mise à jour que le Taboola Pixel fonctionne correctement et qu'aucune erreur JavaScript n'est présente.
Mettre à jour vers la version 1.1.5, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32545 is a Reflected XSS vulnerability in Taboola Pixel, allowing attackers to inject malicious scripts via crafted URLs. It affects versions up to 1.1.4 and has a CVSS score of 7.1 (HIGH).
You are affected if you are using Taboola Pixel versions prior to 1.1.5 and have not implemented adequate input validation and output encoding.
Upgrade Taboola Pixel to version 1.1.5 or later. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-32545, but the vulnerability remains a potential risk.
Please refer to the official Taboola security advisory for detailed information and updates regarding CVE-2026-32545.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.