Plataforma
wordpress
Componente
noo-citilights
Corrigido em
3.7.2
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no tema CitiLights para WordPress. Essa falha permite que atacantes injetem scripts maliciosos em páginas web, potencialmente comprometendo a segurança dos usuários. A vulnerabilidade afeta versões do CitiLights de 0.0.0 até 3.7.1 e foi corrigida na versão 3.7.2.
Um atacante pode explorar essa vulnerabilidade para injetar código JavaScript malicioso em páginas web visualizadas por outros usuários do WordPress. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução de código arbitrário no contexto do navegador da vítima. O impacto pode ser significativo, especialmente em sites com acesso a informações sensíveis ou que são utilizados por um grande número de usuários. A exploração bem-sucedida pode resultar em comprometimento completo da conta do usuário ou até mesmo do servidor WordPress.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão na KEV (CISA Known Exploited Vulnerabilities). A existência de um Proof of Concept (PoC) público é desconhecida até o momento.
Websites using the CitiLights WordPress theme, particularly those with user-generated content or forms that accept user input without proper sanitization, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially affected, as a compromise of one site could lead to the compromise of others.
• wordpress / composer / npm:
grep -r "noo-citilights" /var/www/html/wp-content/themes/• wordpress / composer / npm:
wp plugin list | grep citilights• wordpress / composer / npm:
curl -I <vulnerable_url_with_payload> | grep -i content-security-policydisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o tema CitiLights para a versão 3.7.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de XSS. Monitore os logs do servidor WordPress em busca de padrões suspeitos de injeção de script.
Atualize para a versão 3.7.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24973 is a Reflected XSS vulnerability affecting the CitiLights WordPress theme, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using the CitiLights WordPress theme in versions 0.0.0 through 3.7.1. Upgrade to 3.7.2 or later to resolve the issue.
Upgrade the CitiLights WordPress theme to version 3.7.2 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There is currently no indication that CVE-2026-24973 is being actively exploited in the wild.
Refer to the NooTheme website or WordPress plugin repository for the official advisory and update information regarding CVE-2026-24973.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.