CVE-2026-3718: XSS no ManageWP Worker em WordPress
Plataforma
wordpress
Componente
worker
Corrigido em
4.9.32
O plugin ManageWP Worker para WordPress apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. Essa falha permite que atacantes não autenticados injetem scripts web arbitrários através do header HTTP 'MWP-Key-Name' em versões do plugin de 0.0.0 até 4.9.31. A exploração bem-sucedida pode levar à execução de scripts maliciosos quando administradores acessam a página de gerenciamento de conexão do plugin com parâmetros de depuração.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
Um atacante pode explorar essa vulnerabilidade para injetar código JavaScript malicioso na página de gerenciamento de conexão do plugin ManageWP Worker. Quando um administrador visita essa página com parâmetros de depuração ativados, o script injetado é executado no contexto do navegador do administrador, permitindo que o atacante roube cookies de sessão, redirecione o administrador para sites maliciosos ou realize outras ações maliciosas em nome do administrador. O impacto é amplificado se o administrador tiver privilégios elevados no WordPress, pois o atacante poderá comprometer todo o site. A ausência de autenticação necessária para a exploração torna a vulnerabilidade particularmente perigosa, pois qualquer usuário da internet pode potencialmente explorar a falha.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-14. A probabilidade de exploração é considerada média, dada a facilidade de exploração e a ausência de autenticação. Não há evidências públicas de campanhas ativas explorando essa vulnerabilidade no momento da publicação, mas a falta de autenticação necessária aumenta o risco. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) no momento da publicação.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o plugin ManageWP Worker para a versão 4.9.32 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desativar temporariamente os parâmetros de depuração na página de gerenciamento de conexão do plugin para reduzir a superfície de ataque. Implementar regras de firewall de aplicação web (WAF) para bloquear requisições HTTP com o header 'MWP-Key-Name' contendo payloads suspeitos pode fornecer uma camada adicional de proteção. Monitore os logs do WordPress em busca de padrões de requisições suspeitas envolvendo o header 'MWP-Key-Name'.
Como corrigir
Atualize para a versão 4.9.32, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2026-3718 — XSS no ManageWP Worker?
CVE-2026-3718 é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no plugin ManageWP Worker para WordPress, permitindo a injeção de scripts maliciosos via o header 'MWP-Key-Name' em versões até 4.9.31.
Estou afetado pelo CVE-2026-3718 no ManageWP Worker?
Se você estiver usando o plugin ManageWP Worker em versões de 0.0.0 a 4.9.31, você está potencialmente afetado. Verifique a versão do seu plugin e atualize imediatamente.
Como corrigir CVE-2026-3718 no ManageWP Worker?
Atualize o plugin ManageWP Worker para a versão 4.9.32 ou superior. Desative temporariamente os parâmetros de depuração como medida paliativa.
CVE-2026-3718 está sendo ativamente explorado?
Não há evidências públicas de campanhas ativas explorando essa vulnerabilidade no momento da publicação, mas a facilidade de exploração aumenta o risco.
Onde posso encontrar o advisory oficial do ManageWP Worker para CVE-2026-3718?
Consulte o site oficial do ManageWP Worker ou o repositório do plugin no WordPress.org para obter o advisory oficial e informações adicionais sobre a correção.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...