Plataforma
wordpress
Componente
table-of-contents-creator
Corrigido em
1.6.5
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no plugin Table of Contents Creator. Essa falha permite que atacantes injetem scripts maliciosos em páginas web geradas pelo plugin, potencialmente comprometendo a segurança dos usuários. A vulnerabilidade afeta versões do plugin a partir de n/a até 1.6.4.1. Uma correção foi publicada, e a atualização para a versão mais recente é recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página web. O impacto pode ser significativo, especialmente em sites com grande tráfego ou que lidam com informações sensíveis. Um atacante poderia, por exemplo, criar um link malicioso que, ao ser clicado por um usuário, injeta o script e rouba suas credenciais de login. A amplitude do ataque depende da visibilidade do plugin e da capacidade do atacante de induzir os usuários a clicar no link malicioso.
A vulnerabilidade foi divulgada em 2026-03-19. Não há informações disponíveis sobre a existência de Proof-of-Concept (PoC) públicos ou campanhas de exploração ativas no momento. A avaliação de risco é considerada moderada, dada a natureza da vulnerabilidade XSS e a possibilidade de exploração através de links maliciosos.
Websites using the Table of Contents Creator plugin, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/table-of-contents-creator/• wordpress / composer / npm:
wp plugin list --status=all | grep "table-of-contents-creator"• wordpress / composer / npm:
wp plugin update table-of-contents-creatordisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Table of Contents Creator para a versão corrigida. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear ataques XSS. Implemente políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados no seu site. Monitore os logs do servidor em busca de padrões suspeitos de injeção de scripts.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68836 is a Reflected XSS vulnerability in the Table of Contents Creator WordPress plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Table of Contents Creator versions prior to 1.6.4.1. Upgrade immediately to mitigate the risk.
Upgrade the Table of Contents Creator plugin to version 1.6.4.1 or later. Consider input validation and WAF rules as additional protections.
There are currently no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.