Accessibly <= 3.0.3 - Falta de Autorização para Cross-Site Scripting Armazenado Não Autenticado via Injeção de Fonte de Widget através da API REST
Plataforma
wordpress
Componente
otm-accessibly
Corrigido em
3.0.4
3.0.4
O plugin Accessibly para WordPress apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. Esta falha ocorre devido à falta de autenticação nas APIs REST /otm-ac/v1/update-widget-options e /otm-ac/v1/update-app-config. Versões do plugin até, e incluindo, 3.0.3 são afetadas. A correção está disponível em versões posteriores.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos no site WordPress. Esses scripts podem ser executados no navegador de outros usuários, permitindo que o atacante roube cookies, redirecione usuários para sites maliciosos, ou modifique o conteúdo da página. A falta de autenticação nas APIs REST torna a exploração relativamente simples, especialmente para usuários com acesso limitado ao site. O impacto pode variar desde a exibição de mensagens falsas até o comprometimento completo da conta de administrador.
Contexto de Exploração
Esta vulnerabilidade foi divulgada publicamente em 14 de abril de 2026. Não há relatos de exploração ativa no momento, mas a facilidade de exploração sugere que pode ser alvo de ataques. A ausência de autenticação nas APIs REST aumenta a probabilidade de exploração. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Quem Está em Riscotraduzindo…
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
Passos de Detecçãotraduzindo…
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --allLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Informações do pacote
- Instalações ativas
- 400
- Avaliação do plugin
- 4.5
- Requer WordPress
- 5.5+
- Compatível até
- 6.7.5
- Requer PHP
- 7.0+
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o plugin Accessibly para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar temporariamente as APIs REST vulneráveis (/otm-ac/v1/update-widget-options e /otm-ac/v1/update-app-config) através de um plugin de segurança ou modificando o arquivo .htaccess. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações maliciosas direcionadas a essas APIs também pode ajudar. Monitore os logs do WordPress em busca de atividades suspeitas.
Como corrigir
Nenhuma correção conhecida disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2026-3643 — XSS in Accessibly WordPress Plugin?
CVE-2026-3643 is a stored Cross-Site Scripting (XSS) vulnerability in the Accessibly WordPress plugin, allowing attackers to inject malicious scripts via unprotected REST API endpoints.
Am I affected by CVE-2026-3643 in Accessibly WordPress Plugin?
You are affected if you are using the Accessibly plugin in versions 3.0.3 or earlier. Check your plugin version and upgrade immediately.
How do I fix CVE-2026-3643 in Accessibly WordPress Plugin?
Upgrade the Accessibly plugin to a version higher than 3.0.3. As a temporary measure, disable the plugin or restrict access to the vulnerable REST API endpoints.
Is CVE-2026-3643 being actively exploited?
While no public exploits have been released, the lack of authentication makes it a likely target for exploitation.
Where can I find the official Accessibly advisory for CVE-2026-3643?
Refer to the Accessibly plugin's official website or WordPress plugin repository for the latest security advisories and updates.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.