Plataforma
wordpress
Componente
remoji
Corrigido em
2.2.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no plugin Remoji para WordPress. Essa falha permite que atacantes injetem scripts maliciosos, potencialmente comprometendo a segurança do site. A vulnerabilidade afeta versões do Remoji de 0.0.0 até 2.2 e foi corrigida na versão 2.2.1.
Um atacante pode explorar essa vulnerabilidade para injetar scripts JavaScript maliciosos nas páginas do site WordPress que utilizam o plugin Remoji. Esses scripts podem ser usados para roubar cookies de usuários, redirecioná-los para sites maliciosos, ou até mesmo modificar o conteúdo do site. O impacto pode variar dependendo do nível de privilégios do atacante e da sensibilidade dos dados armazenados no site. Em cenários mais graves, um atacante poderia obter acesso total ao painel de administração do WordPress, comprometendo todo o site.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 7.1 (ALTO) indica um risco significativo, e a disponibilidade de uma correção sugere que a atualização deve ser priorizada. A ausência de um KEV listing indica que a CISA ainda não considera essa vulnerabilidade como uma ameaça emergente crítica.
Websites using the Remoji plugin, particularly those with user-generated content or forms where user input is not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised website could potentially be used to attack other websites on the same server.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/remoji/*• wordpress / composer / npm:
wp plugin list | grep remoji• wordpress / composer / npm:
wp plugin update remoji --version=2.2.1disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o plugin Remoji para a versão 2.2.1 ou superior. Se a atualização imediata não for possível, considere desativar o plugin até que a atualização possa ser aplicada. Como medida adicional, implemente políticas de segurança de conteúdo (CSP) para restringir a execução de scripts de fontes não confiáveis. Monitore os logs do WordPress em busca de atividades suspeitas, como solicitações incomuns ou modificações inesperadas no banco de dados.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25452 is a Stored XSS vulnerability in the Remoji WordPress plugin, allowing attackers to inject malicious scripts that are stored and executed by other users.
You are affected if you are using Remoji versions 0.0.0 through 2.2. Check your plugin versions and update immediately.
Update the Remoji plugin to version 2.2.1 or later. If upgrading is not possible, temporarily disable the plugin.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation will occur.
Refer to the Remoji plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.