Plataforma
wordpress
Componente
quick-adsense-reloaded
Corrigido em
2.0.99
CVE-2026-2595 é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no plugin Quads Ads Manager for Google AdSense para WordPress. A falha permite que atacantes injetem scripts maliciosos em páginas, afetando usuários que as acessam. A vulnerabilidade afeta versões ≤2.0.98.1. A correção foi lançada na versão 2.0.99.
O plugin Quads Ads Manager para Google AdSense apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) persistente até a versão 2.0.98.1. Isso permite que um atacante autenticado, com acesso de Colaborador ou superior, injete scripts web arbitrários em páginas que serão executados sempre que um usuário acessar a página injetada. A pontuação CVSS para esta vulnerabilidade é 5.4, indicando um risco moderado. A falta de sanitização e escape adequados dos dados de metadados dos anúncios permite essa injeção. Isso pode levar ao roubo de cookies, redirecionamento para sites maliciosos ou ações realizadas em nome do usuário autenticado.
Um atacante com acesso de Colaborador ou superior em um site que usa o plugin Quads Ads Manager pode explorar esta vulnerabilidade. O atacante pode injetar código JavaScript malicioso através dos campos de metadados dos anúncios. Uma vez injetado, o código é armazenado no banco de dados e executado sempre que um usuário acessa a página contendo o anúncio. O impacto pode variar dependendo do código injetado, mas pode incluir o roubo de informações confidenciais, a modificação do conteúdo do site ou o redirecionamento de usuários para sites maliciosos. A dificuldade de exploração é relativamente baixa devido aos privilégios necessários, mas o impacto potencial é significativo.
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação recomendada é atualizar o plugin Quads Ads Manager para Google AdSense para a versão 2.0.99 ou superior. Esta atualização inclui as correções necessárias para evitar a injeção de scripts maliciosos. Além disso, revise as configurações do plugin e as páginas afetadas em busca de código malicioso existente. Aplique políticas de senhas fortes e habilite a autenticação de dois fatores para todas as contas de usuário com privilégios administrativos para evitar acesso não autorizado. Monitore regularmente os logs do servidor em busca de atividades suspeitas como uma medida de segurança proativa. Considere implementar um Firewall de Aplicações Web (WAF) para proteger ainda mais contra ataques XSS.
Atualize para a versão 2.0.99, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em sites, que são então executados quando outros usuários visitam o site.
No WordPress, um Colaborador tem permissões limitadas para publicar e editar conteúdo, mas não pode instalar plugins ou modificar as configurações do site.
Você pode atualizar o plugin a partir do painel de administração do WordPress, indo em Plugins > Atualizações. Sempre faça backup do seu site antes de realizar qualquer atualização.
Se você suspeitar que seu site foi comprometido, altere todas as senhas, digitalize o site em busca de malware e restaure a partir de um backup limpo.
Sim, considere usar senhas fortes, habilitar a autenticação de dois fatores, manter o software atualizado e usar um Firewall de Aplicações Web (WAF).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.