Platform
wordpress
Component
taboola-pixel
Opgelost in
1.1.5
CVE-2026-32545 beschrijft een Reflected Cross-Site Scripting (XSS) kwetsbaarheid in de Taboola Pixel. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts in te voegen via de webpagina, wat kan leiden tot het stelen van gebruikersgegevens of het overnemen van accounts. De kwetsbaarheid treft versies van Taboola Pixel tot en met 1.1.4. Een patch is beschikbaar in versie 1.1.5.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan kwaadaardige JavaScript-code injecteren in de Taboola Pixel, die vervolgens wordt uitgevoerd in de browser van de bezoeker. Dit kan worden gebruikt om cookies te stelen, gebruikers om te leiden naar phishing-sites, of om andere schadelijke acties uit te voeren. De impact is vergelijkbaar met andere XSS-aanvallen, waarbij de aanvaller de context van de website kan misbruiken om de gebruiker te misleiden. De ernst van de impact hangt af van de privileges van de gebruiker en de gevoeligheid van de gegevens die op de website worden verwerkt.
Deze kwetsbaarheid is publiekelijk bekend sinds 2026-03-25. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar XSS-aanvallen zijn over het algemeen wijdverspreid en worden vaak gebruikt. De KEV-status is momenteel onbekend. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven.
Websites utilizing the Taboola Pixel component, particularly those with user-supplied input that is not properly sanitized before being used within the Taboola Pixel, are at risk. Shared hosting environments where multiple websites share the same Taboola Pixel installation are also potentially vulnerable, as a compromise on one site could impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/taboola-pixel/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep taboola-pixeldisclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-32545 is het updaten van de Taboola Pixel naar versie 1.1.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren. Zorg ervoor dat alle input van gebruikers grondig wordt gevalideerd en ontsmet voordat deze wordt weergegeven op de webpagina. Het implementeren van Content Security Policy (CSP) kan ook helpen om de impact van XSS-aanvallen te beperken door de bronnen te beperken waaruit scripts kunnen worden geladen.
Update naar versie 1.1.5, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32545 is a Reflected XSS vulnerability in Taboola Pixel, allowing attackers to inject malicious scripts via crafted URLs. It affects versions up to 1.1.4 and has a CVSS score of 7.1 (HIGH).
You are affected if you are using Taboola Pixel versions prior to 1.1.5 and have not implemented adequate input validation and output encoding.
Upgrade Taboola Pixel to version 1.1.5 or later. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-32545, but the vulnerability remains a potential risk.
Please refer to the official Taboola security advisory for detailed information and updates regarding CVE-2026-32545.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.