Plataforma
wordpress
Componente
embed-calendly-scheduling
Corrigido em
4.4.1
CVE-2026-0868 describes a Stored Cross-Site Scripting (XSS) vulnerability found in the EMC – Easily Embed Calendly Scheduling Features plugin for WordPress. This vulnerability allows authenticated attackers with contributor-level access or higher to inject arbitrary web scripts. The vulnerability affects versions up to and including 4.4, and a fix is available in version 4.5.
O plugin EMC – Easily Embed Calendly Scheduling Features para WordPress é vulnerável a um ataque de Cross-Site Scripting (XSS) persistente. Esta vulnerabilidade reside na forma como o plugin lida com os atributos fornecidos pelo usuário dentro do seu shortcode Calendly, afetando versões até e incluindo a 4.4. A falta de sanitização e escape de entrada inadequados permite que um atacante autenticado (com acesso de colaborador ou superior) injete scripts web arbitrários em páginas. Quando um usuário acessa uma página injetada, o script malicioso é executado, podendo levar ao roubo de informações, manipulação de páginas ou sequestro de contas.
Um atacante com privilégios de colaborador ou superior em um site WordPress que utiliza o plugin EMC – Easily Embed Calendly Scheduling Features pode explorar esta vulnerabilidade. O atacante injetaria código JavaScript malicioso dentro de um atributo do shortcode Calendly. Este código seria armazenado no banco de dados do WordPress e executado sempre que um usuário visitasse a página modificada. A relativa facilidade de obter privilégios de colaborador em alguns sites, combinada com a ampla adoção de plugins como este, torna esta vulnerabilidade um risco significativo.
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação mais eficaz é atualizar o plugin EMC – Easily Embed Calendly Scheduling Features para a versão mais recente disponível (superior a 4.4). Os desenvolvedores do plugin lançaram uma atualização que corrige esta vulnerabilidade implementando a sanitização e o escape de entrada adequados. Além disso, revise as páginas do WordPress que utilizam o shortcode Calendly para identificar e remover qualquer código malicioso injetado. Implementar o princípio do menor privilégio, garantindo que os usuários tenham apenas as permissões necessárias, também pode reduzir o risco. Manter o WordPress e todos os plugins atualizados permanece uma prática de segurança fundamental.
Atualizar para a versão 4.5, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em sites visualizados por outros usuários. Esses scripts podem roubar informações, redirecionar para sites maliciosos ou modificar o conteúdo da página.
Se você estiver usando o plugin EMC – Easily Embed Calendly Scheduling Features em versões anteriores à 4.4, seu site provavelmente está vulnerável. Revise as páginas que usam o shortcode Calendly em busca de código suspeito.
Altere imediatamente as senhas de todos os usuários com privilégios de administrador e colaborador. Digitalize seu site em busca de malware e remova qualquer código malicioso encontrado. Considere restaurar um backup limpo do seu site.
Existem vários scanners de vulnerabilidades do WordPress que podem detectar esta vulnerabilidade. Você também pode revisar manualmente o código-fonte das páginas que usam o shortcode Calendly.
Você pode encontrar a versão mais recente do plugin EMC – Easily Embed Calendly Scheduling Features no repositório de plugins do WordPress ou no site do desenvolvedor.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.