Plataforma
wordpress
Componente
brookside
Corrigido em
1.4.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no plugin Brookside para WordPress. Esta falha permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários, potencialmente comprometendo suas sessões e roubando informações sensíveis. A vulnerabilidade afeta versões do Brookside desde n/a até 1.4. Uma correção foi disponibilizada, e a atualização para a versão mais recente é a solução recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site e, em casos mais graves, acesso a dados confidenciais armazenados no servidor. O impacto é amplificado se o plugin Brookside for utilizado em sites com acesso restrito ou que lidam com informações pessoais, como lojas virtuais ou portais de clientes. A injeção de scripts pode ser realizada através de parâmetros de URL ou campos de entrada não validados, tornando a exploração relativamente simples.
A vulnerabilidade foi divulgada em 2026-03-19. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, é crucial aplicar as medidas de mitigação o mais rápido possível.
Websites utilizing ArtstudioWorks Brookside, particularly those with user input fields that are not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/brookside/wp-content/plugins/• generic web:
curl -I https://your-brookside-site.com/vulnerable-page?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive• wordpress / composer / npm:
wp plugin search brookside• wordpress / composer / npm:
wp plugin update --alldisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin Brookside para a versão corrigida, assim que estiver disponível. Enquanto isso, é possível implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário no código do plugin. A utilização de um Web Application Firewall (WAF) com regras para detectar e bloquear ataques XSS também pode ajudar a reduzir o risco. Além disso, a implementação de políticas de segurança de conteúdo (CSP) pode limitar a execução de scripts maliciosos, mesmo que a vulnerabilidade seja explorada.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-67618 is a Reflected XSS vulnerability in ArtstudioWorks Brookside, allowing attackers to inject malicious scripts into web pages. This impacts versions n/a–1.4 and can lead to data theft and account compromise.
If you are using ArtstudioWorks Brookside versions between n/a and 1.4, you are potentially affected. Assess your input validation and output encoding practices to determine your level of risk.
Upgrade to a patched version of Brookside as soon as it becomes available. Until then, implement input validation and output encoding and consider using a WAF.
While no active exploitation has been confirmed, the vulnerability's nature suggests it is likely to be targeted. Monitor your systems and implement mitigations proactively.
Refer to the ArtstudioWorks website and security advisories for updates and official guidance regarding CVE-2025-67618.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.