Platform
wordpress
Component
worker
Opgelost in
4.9.32
CVE-2026-39463 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de ManageWP Worker WordPress plugin. Deze kwetsbaarheid stelt ongeautoriseerde aanvallers in staat om schadelijke webscripts te injecteren. De kwetsbaarheid treft versies van de plugin tot en met 4.9.31. Een update naar versie 4.9.32 lost het probleem op.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het stelen van gebruikersgegevens, het uitvoeren van acties namens gebruikers of het omleiden van gebruikers naar kwaadaardige websites. De aanvallers kunnen JavaScript-code injecteren die wordt uitgevoerd in de browser van de gebruiker wanneer deze een geïnfecteerde pagina bezoekt. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers te misleiden om inloggegevens in te voeren op een valse pagina, of om de website te defacen. De impact is aanzienlijk, aangezien de kwetsbaarheid toegankelijk is voor ongeauthenticeerde aanvallers.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-13. Er zijn momenteel geen openbare Proof-of-Concept (POC) exploits beschikbaar, maar de XSS aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst POC's zullen verschijnen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven).
WordPress websites utilizing the ManageWP Worker plugin, particularly those running versions 4.9.31 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites heavily reliant on user-generated content within the ManageWP Worker plugin are also more vulnerable.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/managewp-worker/• wordpress / composer / npm:
wp plugin list --status=active | grep managewp-worker• wordpress / composer / npm:
wp plugin update managewp-worker --alldisclosure
patch
Exploit Status
CVSS-vector
De primaire mitigatie is het updaten van de ManageWP Worker plugin naar versie 4.9.32 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de functionaliteit van de plugin of het implementeren van een Web Application Firewall (WAF) om schadelijke scripts te blokkeren. Controleer de WordPress plugin directory op updates en test de upgrade in een staging omgeving voordat deze in productie wordt doorgevoerd. Na de upgrade, controleer de website op tekenen van compromittering door logs te analyseren op verdachte activiteiten.
Update naar versie 4.9.32, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39463 is a Stored Cross-Site Scripting (XSS) vulnerability in the ManageWP Worker WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ManageWP Worker plugin versions 4.9.31 or earlier. Upgrade to 4.9.32 to resolve the issue.
Upgrade the ManageWP Worker plugin to version 4.9.32 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
While no public exploits are currently known, the ease of exploitation for XSS vulnerabilities suggests a potential risk of exploitation.
Refer to the ManageWP website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.