Plataforma
wordpress
Componente
simple-xml-sitemap
Corrigido em
1.3.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Simple XML Sitemap, permitindo a injeção de XSS armazenado. Essa falha permite que atacantes executem scripts maliciosos no navegador de outros usuários, comprometendo a segurança do site. O problema afeta versões do Simple XML Sitemap de 0.0.0 até 1.3 e uma correção já foi disponibilizada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante injete código JavaScript malicioso em páginas do site WordPress que utilizam o plugin Simple XML Sitemap. O código injetado pode ser executado no contexto do usuário, permitindo que o atacante roube cookies de sessão, redirecione o usuário para sites maliciosos, ou modifique o conteúdo do site. O impacto é significativo, pois a XSS armazenada persiste no banco de dados e pode afetar múltiplos usuários. A vulnerabilidade é similar a outras falhas de XSS em plugins WordPress, onde a falta de validação adequada da entrada do usuário leva à execução de código malicioso.
A vulnerabilidade foi publicada em 22 de janeiro de 2026. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A avaliação de risco inicial é considerada alta devido à natureza da vulnerabilidade XSS e à facilidade de exploração via CSRF.
Websites using the Simple XML Sitemap plugin, particularly those with user authentication or sensitive data, are at risk. Shared WordPress hosting environments are particularly vulnerable as attackers could potentially exploit this vulnerability on multiple websites hosted on the same server. Sites using older, unmaintained versions of WordPress are also at higher risk.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/simple-xml-sitemap/• wordpress / composer / npm:
wp plugin list --status=inactive | grep simple-xml-sitemap• wordpress / composer / npm:
wp plugin list | grep simple-xml-sitemapdisclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Simple XML Sitemap para a versão corrigida, assim que estiver disponível. Enquanto a atualização não é possível, considere implementar medidas de proteção CSRF, como a utilização de tokens CSRF em todos os formulários e requisições que modificam dados no site. Além disso, configure o firewall do seu servidor web (WAF) para bloquear requisições suspeitas que tentem explorar a vulnerabilidade. Monitore os logs do servidor e do WordPress em busca de atividades incomuns que possam indicar uma tentativa de exploração.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22355 is a Cross-Site Scripting (XSS) vulnerability in the Simple XML Sitemap WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using the Simple XML Sitemap plugin in WordPress versions 0.0.0 through 1.3. Check your plugin versions immediately.
Upgrade to a patched version of the Simple XML Sitemap plugin as soon as it's available. Until then, implement CSP and input validation.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply mitigations proactively.
Check the plugin author's website or WordPress plugin repository for updates and advisories related to CVE-2026-22355.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.