Plataforma
wordpress
Componente
legacy-admin
Corrigido em
9.5.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no componente Legacy Admin do ThemePassion. Essa falha permite que atacantes injetem scripts maliciosos em páginas web, potencialmente comprometendo a segurança dos usuários. A vulnerabilidade afeta versões do Legacy Admin de 0.0.0 até 9.5 e a correção já foi disponibilizada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código JavaScript arbitrário no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou até mesmo a obtenção de controle sobre a conta do usuário. Em cenários mais graves, um atacante com acesso a contas administrativas poderia comprometer todo o site WordPress e seus dados. A natureza refletida da XSS significa que o atacante precisa enganar o usuário para que clique em um link malicioso, mas o impacto pode ser significativo.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há relatos públicos de exploração ativa no momento. A ausência de um KEV listing indica uma probabilidade de exploração considerada baixa a média, dependendo da popularidade do componente Legacy Admin e da conscientização da comunidade sobre a vulnerabilidade. Verifique o site do ThemePassion e o NVD para atualizações.
Administrators and users of websites utilizing ThemePassion Legacy Admin are at risk. Specifically, those using older, unpatched versions (0.0.0 through 9.5) are highly vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'Legacy Admin' /var/www/html/wp-content/plugins/
wp plugin list | grep Legacy Admin• generic web:
curl -I 'https://your-website.com/admin/index.php?param=<script>alert(1)</script>' | grep Content-Typedisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o componente Legacy Admin para a versão corrigida, que deve ser disponibilizada pelo ThemePassion. Enquanto a atualização não é possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Implemente políticas de Content Security Policy (CSP) para restringir as fontes de scripts que podem ser executados no navegador. Monitore logs de acesso e erro em busca de padrões suspeitos de injeção de código.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22524 is a Reflected XSS vulnerability affecting ThemePassion Legacy Admin versions 0.0.0 through 9.5, allowing attackers to inject malicious scripts via crafted URLs.
If you are using ThemePassion Legacy Admin version 0.0.0 through 9.5, you are potentially affected. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of ThemePassion Legacy Admin. Check the vendor's website for the latest version.
While no active exploitation has been confirmed, the ease of exploitation suggests potential for future attacks. Monitor security advisories and logs.
Refer to the ThemePassion website and WordPress plugin repository for official advisories and updates related to CVE-2026-22524.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.