Plataforma
wordpress
Componente
cloudflare-cache-purge
Corrigido em
1.2.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin CloudFlare(R) Cache Purge, permitindo a injeção de scripts maliciosos. Essa falha, classificada como de alta severidade (CVSS 7.1), pode comprometer a integridade e a confidencialidade dos dados do usuário. O problema afeta versões do plugin de 0.0.0 até 1.2 e pode ser mitigado atualizando para a versão 1.2.1.
A exploração bem-sucedida desta vulnerabilidade de XSS permite que um atacante execute scripts maliciosos no navegador de um usuário que visita um site vulnerável. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página web. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para obter acesso não autorizado a contas de usuário ou comprometer a segurança de todo o site. A natureza refletida do XSS significa que o ataque depende da manipulação de entrada do usuário, tornando-o particularmente perigoso em formulários ou outras áreas onde os usuários inserem dados.
A vulnerabilidade foi divulgada em 31 de janeiro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação das medidas de mitigação é crucial.
WordPress websites utilizing the shanaver CloudFlare Cache Purge plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at risk. Shared hosting environments where plugin updates are managed centrally may also be vulnerable if they haven't applied the patch.
• wordpress / composer / npm:
grep -r 'shanaver CloudFlare Cache Purge' /wp-content/plugins/
wp plugin list | grep 'cloudflare-cache-purge'• generic web:
curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep 'Content-Security-Policy'disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin CloudFlare(R) Cache Purge para a versão 1.2.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin ou implementar medidas de segurança adicionais. Implementar validação e sanitização rigorosas de todas as entradas do usuário pode ajudar a prevenir ataques XSS. Além disso, a utilização de um Web Application Firewall (WAF) com regras específicas para bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Após a atualização, verifique se o plugin está funcionando corretamente e se as páginas web não exibem nenhum comportamento inesperado.
Atualize o plugin CloudFlare(R) Cache Purge para a versão mais recente disponível para mitigar a vulnerabilidade de XSS. Verifique a página do plugin no WordPress.org para obter a versão mais recente e as instruções de atualização. Além disso, revise e sanitize qualquer entrada de usuário que seja utilizada para gerar conteúdo web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-22332 is a Reflected XSS vulnerability in the CloudFlare Cache Purge plugin for WordPress, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using CloudFlare Cache Purge versions 0.0.0 through 1.2. Check your plugin version and upgrade immediately if necessary.
Upgrade the CloudFlare Cache Purge plugin to version 1.2.1 or later. Consider implementing input validation and output encoding as an additional precaution.
No active exploitation campaigns have been confirmed, but the vulnerability is publicly known and could be exploited.
Refer to the plugin's official repository or the shanaver developer's website for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.