Platform
wordpress
Component
instagram-slider-widget
Opgelost in
2.3.3
CVE-2026-39507 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Social Slider Feed WordPress plugin. Deze kwetsbaarheid stelt ongeautoriseerde aanvallers in staat om schadelijke webscripts te injecteren, die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt. De kwetsbaarheid treft versies van de plugin tot en met 2.3.2. Een fix is beschikbaar in versie 2.3.3.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het stelen van gebruikersgegevens, het uitvoeren van acties namens gebruikers (zoals het plaatsen van berichten of het wijzigen van instellingen) en het omleiden van gebruikers naar kwaadaardige websites. De impact is aanzienlijk, omdat de kwetsbaarheid ongeautoriseerde toegang tot gebruikersaccounts en de mogelijkheid om de WordPress-site te compromitteren mogelijk maakt. Dit kan resulteren in reputatieschade, financiële verliezen en verstoring van de dienstverlening. De kwetsbaarheid is bijzonder gevaarlijk omdat de scripts persistent zijn en worden opgeslagen op de server, waardoor ze herhaaldelijk kunnen worden uitgevoerd.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-16. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de XSS-kwetsbaarheid is inherent risicovol en kan relatief eenvoudig worden geëxploiteerd. De CVSS score van 7.2 (HIGH) duidt op een significant risico. Er is geen vermelding in de CISA KEV catalogus op dit moment.
Websites using the Social Slider Feed plugin, particularly those running older versions (≤2.3.2), are at risk. Shared hosting environments where multiple websites share the same server infrastructure are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/social-slider-feed/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'social-slider-feed'• wordpress / composer / npm:
wp plugin update social-slider-feed --all• generic web: Check for unusual JavaScript behavior or unexpected redirects on pages utilizing the Social Slider Feed plugin.
disclosure
Exploit Status
CVSS-vector
De primaire mitigatie is het upgraden van de Social Slider Feed plugin naar versie 2.3.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het uitschakelen van de plugin of het implementeren van een Web Application Firewall (WAF) met regels om XSS-aanvallen te blokkeren. Controleer de WordPress-site op verdachte scripts of code die mogelijk is geïnjecteerd. Implementeer strikte inputvalidatie en output encoding in alle plugin-code om toekomstige XSS-kwetsbaarheden te voorkomen.
Update naar versie 2.3.3, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39507 is a Stored Cross-Site Scripting (XSS) vulnerability affecting the Social Slider Feed plugin for WordPress versions up to 2.3.2, allowing attackers to inject malicious scripts.
You are affected if you are using the Social Slider Feed plugin version 2.3.2 or earlier. Upgrade to 2.3.3 or later to mitigate the risk.
Upgrade the Social Slider Feed plugin to version 2.3.3 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There are currently no known public exploits or active campaigns targeting this vulnerability, but exploitation is possible.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.