Escanear grátis
MEDIUMCVE-2026-5361CVSS 6.4

CVE-2026-5361: XSS em Envira Gallery – WordPress

Plataforma

wordpress

Componente

envira-gallery-lite

Corrigido em

1.12.5

Ver no NVD
Salvar

Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin Envira Gallery Lite para WordPress, afetando versões até 1.12.4. Essa falha permite que atacantes injetem scripts maliciosos através da API REST, potencialmente comprometendo a segurança do site e dos usuários. A atualização para a versão 1.12.5 corrige essa vulnerabilidade.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no contexto do navegador de um usuário. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação do conteúdo da página. Em cenários mais graves, um atacante pode obter controle total sobre o site WordPress, comprometendo dados sensíveis e a reputação do proprietário. A falta de sanitização adequada dos parâmetros na função updategallerydata() e a utilização inadequada de escattr() na função galleryinit() são as causas primárias da vulnerabilidade.

Contexto de Exploração

A vulnerabilidade CVE-2026-5361 foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, dada a natureza comum de vulnerabilidades XSS e a ampla utilização do plugin Envira Gallery. Não há relatos públicos de campanhas de exploração ativa no momento, mas a ausência de um fix imediato pode aumentar o risco. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) no momento da publicação.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componenteenvira-gallery-lite
Fornecedorwordfence
Versão máxima1.12.4
Corrigido em1.12.5

Classificação de Fraqueza (CWE)

CWE-79

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada

Mitigação e Soluções Alternativas

A mitigação primária é a atualização imediata para a versão 1.12.5 do plugin Envira Gallery. Se a atualização imediata não for possível devido a conflitos de compatibilidade ou outros problemas, considere implementar medidas de proteção adicionais. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do WordPress em busca de padrões suspeitos de injeção de script. Implemente políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados no site.

Como corrigir

Atualize para a versão 1.12.5, ou uma versão corrigida mais recente

Perguntas frequentes

O que é CVE-2026-5361 — XSS em Envira Gallery – WordPress?

CVE-2026-5361 é uma vulnerabilidade de Cross-Site Scripting (XSS) no plugin Envira Gallery para WordPress, permitindo a injeção de scripts maliciosos através da API REST em versões até 1.12.4.

Estou afetado pelo CVE-2026-5361 em Envira Gallery – WordPress?

Sim, se você estiver utilizando o plugin Envira Gallery Lite em versões anteriores a 1.12.5, você está vulnerável a esta falha de XSS.

Como corrigir CVE-2026-5361 em Envira Gallery – WordPress?

A correção é atualizar o plugin Envira Gallery para a versão 1.12.5 ou superior. Considere também implementar um WAF e CSP para proteção adicional.

CVE-2026-5361 está sendo ativamente explorado?

Não há relatos públicos de campanhas de exploração ativa no momento, mas a vulnerabilidade é considerada de risco médio e pode ser explorada no futuro.

Onde posso encontrar o advisory oficial do WordPress para CVE-2026-5361?

Consulte o site do Envira Gallery para obter informações e o advisory oficial: [https://envira-gallery.com/](https://envira-gallery.com/)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis
ao vivoverificação gratuita

Escaneie seu projeto WordPress agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...