Plataforma
wordpress
Componente
zorka
Corrigido em
1.5.8
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no tema Zorka para WordPress. Essa falha permite que atacantes injetem scripts maliciosos em páginas web, potencialmente comprometendo a segurança dos usuários e do site. A vulnerabilidade afeta versões de 0.0.0 até 1.5.7 do tema Zorka. A correção oficial está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no navegador de um usuário que visita uma página comprometida. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou até mesmo à execução de código arbitrário no servidor, dependendo das permissões do usuário WordPress. O impacto é amplificado se o site Zorka for usado para coletar informações confidenciais ou se for um ponto de entrada para outros sistemas internos. A injeção de scripts pode ser usada para realizar phishing direcionado a usuários específicos ou para disseminar malware.
A vulnerabilidade foi publicada em 2026-03-25. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
Websites using the Zorka WordPress theme, particularly those with user input fields or dynamic content generation, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised Zorka installation on one site could potentially impact others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/themes/zorka/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep zorkadisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o tema Zorka para a versão corrigida. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear payloads de XSS. Implemente validação e sanitização rigorosas de todas as entradas de usuário. Desative temporariamente recursos do tema que possam ser explorados. Monitore os logs do servidor e do WordPress em busca de atividades suspeitas, como solicitações com payloads de XSS.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-69096 is a Reflected XSS vulnerability in the Zorka WordPress theme, allowing attackers to inject malicious scripts. It affects versions 0.0.0–1.5.7 and poses a significant security risk.
If you are using the Zorka WordPress theme and your version is between 0.0.0 and 1.5.7 (inclusive), you are potentially affected by this vulnerability. Check your theme version immediately.
The recommended fix is to upgrade to a patched version of the Zorka WordPress theme. Monitor the theme developer's website for updates and apply them as soon as they become available.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-69096. However, the vulnerability is publicly known, and exploitation is possible.
Refer to the Zorka theme developer's website or WordPress plugin repository for the official advisory and patch information regarding CVE-2025-69096.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.