CVE-2026-2396: XSS no List View Google Calendar
Plataforma
wordpress
Componente
list-view-google-calendar
Corrigido em
7.4.4
O plugin List View Google Calendar para WordPress apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) de armazenamento. Essa falha permite que atacantes autenticados, com privilégios de administrador, injetem scripts web arbitrários nas descrições de eventos. A vulnerabilidade afeta versões do plugin de 0.0.0 até 7.4.3, especificamente em instalações multi-site e onde o filtro unfiltered_html está desativado. A correção está disponível na versão 7.4.4.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
Um atacante explorando esta vulnerabilidade pode injetar código JavaScript malicioso na descrição de um evento do Google Calendar. Quando um usuário acessa a página do evento, o script injetado é executado no navegador do usuário, permitindo ao atacante roubar cookies de sessão, redirecionar o usuário para sites maliciosos ou até mesmo realizar ações em nome do usuário. Em um ambiente multi-site, a exploração pode afetar vários sites dentro da instalação do WordPress. A necessidade de acesso de administrador limita o impacto, mas ainda representa um risco significativo, especialmente em sites com controles de acesso mal configurados. A ausência de sanitização adequada da entrada e escaping da saída é a raiz do problema, um padrão comum em vulnerabilidades XSS.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-04-14. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A pontuação CVSS é 4.4 (Média), indicando um risco moderado. Não está listada no KEV (Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade XSS a torna um alvo potencial para atacantes.
Inteligência de Ameaças
Status do Exploit
EPSS
0.03% (percentil 10%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Alto — conta de administrador ou privilegiada necessária.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o plugin List View Google Calendar para a versão 7.4.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, desative o plugin até que a atualização possa ser aplicada. Em ambientes multi-site, considere desativar o plugin em todos os sites até que a atualização seja implementada. Como medida adicional, configure o filtro unfiltered_html para desabilitar a entrada de HTML não filtrado, reduzindo a superfície de ataque. Monitore os logs do WordPress em busca de atividades suspeitas, como tentativas de injeção de código JavaScript.
Como corrigir
Atualize para a versão 7.4.4, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2026-2396 — XSS no List View Google Calendar?
CVE-2026-2396 é uma vulnerabilidade de Cross-Site Scripting (XSS) no plugin List View Google Calendar para WordPress, permitindo que atacantes injetem scripts maliciosos em descrições de eventos.
Estou afetado pelo CVE-2026-2396 no List View Google Calendar?
Se você usa o plugin List View Google Calendar em versões de 0.0.0 a 7.4.3, e sua instalação é multi-site ou o filtro unfiltered_html está desativado, você está potencialmente afetado.
Como corrigir CVE-2026-2396 no List View Google Calendar?
Atualize o plugin List View Google Calendar para a versão 7.4.4 ou superior. Se a atualização não for possível, desative o plugin até que a atualização seja aplicada.
CVE-2026-2396 está sendo ativamente explorado?
Atualmente, não há informações disponíveis sobre exploração ativa ou campanhas direcionadas, mas a vulnerabilidade XSS a torna um alvo potencial.
Onde posso encontrar o aviso oficial do List View Google Calendar para CVE-2026-2396?
Verifique o site oficial do plugin List View Google Calendar ou o repositório de plugins do WordPress para obter o aviso oficial e as instruções de atualização.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...