Platform
wordpress
Component
contact-manager
Opgelost in
9.1.1
CVE-2026-32517 beschrijft een Cross-site Scripting (XSS) kwetsbaarheid in Kleor Contact Manager. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts in te voegen via webpagina's, wat kan leiden tot het stelen van gevoelige informatie of het overnemen van accounts. De kwetsbaarheid treft versies van Kleor Contact Manager tot en met 9.1. Een patch is beschikbaar in versie 9.1.1.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan kwaadaardige JavaScript-code injecteren in webpagina's die door Kleor Contact Manager worden gegenereerd. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar phishing-pagina's, of om de webpagina te manipuleren om acties uit te voeren namens de gebruiker. De impact is het grootst voor gebruikers met beheerdersrechten, aangezien een aanvaller dan volledige controle over de Contact Manager-installatie kan krijgen. De blast radius omvat alle gebruikers die de getroffen webpagina bezoeken.
Op het moment van publicatie (2026-03-25) is er geen informatie beschikbaar over actieve exploits of KEV-listing. Er zijn geen publieke proof-of-concept exploits bekend. De CVSS score van 7.1 (HIGH) duidt op een aanzienlijk risico, en het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen.
Websites using the Kleor Contact Manager plugin, particularly those running older versions (prior to 9.1.1), are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "contact-manager" /var/www/html/wp-content/plugins/
wp plugin list | grep contact-manager• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-32517 is het upgraden van Kleor Contact Manager naar versie 9.1.1 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan om inputvalidatie toe te passen op alle gebruikersinvoer die door Kleor Contact Manager wordt verwerkt. Dit kan helpen om de impact van de kwetsbaarheid te verminderen. Implementeer een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren. Controleer de Contact Manager-configuratie op onveilige instellingen die de kwetsbaarheid kunnen verergeren.
Update naar versie 9.1.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32517 is a Reflected XSS vulnerability affecting Kleor Contact Manager versions up to 9.1, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Kleor Contact Manager version 9.1 or earlier. Upgrade to 9.1.1 to mitigate the risk.
Upgrade Kleor Contact Manager to version 9.1.1 or later. Consider input validation and output encoding as an interim measure.
No active exploitation has been confirmed at this time, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the Kleor Contact Manager website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.