Plataforma
wordpress
Componente
simple-stripe
Corrigido em
0.9.18
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Simple Stripe para WordPress. Essa falha permite a exploração de XSS armazenado, o que significa que um atacante pode injetar scripts maliciosos que são armazenados no servidor e executados quando outros usuários acessam páginas afetadas. As versões do Simple Stripe afetadas são da 0.0.0 até a 0.9.17. A correção para esta vulnerabilidade foi lançada na versão 0.9.18.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador de um usuário autenticado. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou até mesmo à tomada de controle da conta do usuário. O atacante pode, por exemplo, criar um formulário HTML malicioso que, quando submetido por um usuário, modifica as configurações do Simple Stripe para incluir código JavaScript malicioso. Este código é então armazenado no banco de dados e executado sempre que um usuário visualiza uma página que utiliza o Simple Stripe. A severidade é alta devido ao potencial de comprometimento da conta e da confidencialidade dos dados do usuário.
A vulnerabilidade foi divulgada em 6 de novembro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um CSRF com potencial para XSS armazenado geralmente indica um risco moderado de exploração, especialmente em sites com alta visibilidade e tráfego.
Websites using the ZIPANG Simple Stripe plugin, particularly those handling sensitive user data or financial transactions, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/simple-stripe/*• wordpress / composer / npm:
wp plugin list --status=inactive | grep simple-stripe• wordpress / composer / npm:
wp plugin update --all• generic web: Check WordPress plugin directory for updates and security advisories related to Simple Stripe.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Simple Stripe para a versão 0.9.18 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as entradas do usuário e a utilização de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts inline. Implementar um sistema de verificação CSRF robusto em todas as operações que modificam dados no Simple Stripe também pode ajudar a mitigar o risco. Monitore os logs do WordPress em busca de atividades suspeitas, como solicitações POST inesperadas para endpoints do Simple Stripe.
Atualize o plugin Simple Stripe para a última versão disponível para mitigar a vulnerabilidade de CSRF que poderia levar à execução de código XSS. Consulte a página do plugin no WordPress.org para obter a versão mais recente e as instruções de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-48085 is a Stored Cross-Site Scripting (XSS) vulnerability in the ZIPANG Simple Stripe WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ZIPANG Simple Stripe versions 0.0.0 through 0.9.17. Upgrade to 0.9.18 or later to mitigate the risk.
Upgrade the ZIPANG Simple Stripe plugin to version 0.9.18 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
No active exploitation has been confirmed as of 2025-11-06, but the vulnerability's nature suggests a moderate probability of exploitation.
Check the ZIPANG Simple Stripe plugin page on WordPress.org or the developer's website for the official advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.