Plataforma
wordpress
Componente
ays-popup-box
Corrigido em
5.5.0
5.5.1
O plugin Popup Box – Create Countdown, Coupon, Video, Contact Form Popups para WordPress apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. Devido à falta de sanitização e escaping adequados das entradas, um atacante não autenticado pode injetar scripts web arbitrários em páginas acessadas por outros usuários. Essa falha afeta versões do plugin até 5.5.0 e pode levar à execução de código malicioso no navegador das vítimas.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode resultar no roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement de páginas ou até mesmo na execução de ações em nome do usuário afetado. O impacto é amplificado se o plugin for amplamente utilizado em um site com muitos visitantes, aumentando o potencial de comprometimento em larga escala. A injeção de scripts pode ser sutil, tornando a detecção difícil para usuários desavisados.
Esta vulnerabilidade foi divulgada em 2026-04-08. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação de medidas de mitigação é recomendada.
Status do Exploit
EPSS
0.02% (percentil 6%)
Vetor CVSS
A mitigação primária é atualizar o plugin Popup Box para a versão 5.5.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a aplicação de regras em um Web Application Firewall (WAF) para bloquear payloads XSS conhecidos. Além disso, revise e sanitize cuidadosamente todas as entradas de usuário antes de exibi-las em páginas do site. Monitore logs de acesso e erro em busca de padrões suspeitos de injeção de script.
Atualize para a versão 5.5.0 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into legitimate websites. These scripts execute in the user's browser, potentially allowing the attacker to steal sensitive information or perform actions on behalf of the user.
If you are using a version of the 'Popup Box' plugin prior to 5.5.0, you are likely affected. Review your server logs for suspicious activity.
CVSS (Common Vulnerability Scoring System) is a standard for assessing the severity of security vulnerabilities. A score of 7.2 indicates a medium-high risk.
CSP is an additional layer of security that allows website administrators to define which resources (such as scripts, images, and styles) can be loaded on a web page. This helps prevent XSS attacks by restricting the execution of unauthorized scripts.
If you suspect your website has been compromised, immediately update the plugin to the latest version, scan your website for malware, and consider consulting a security professional for assistance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.