Plataforma
wordpress
Componente
twentig
Corrigido em
1.9.8
A vulnerabilidade CVE-2026-2602 é uma falha de Cross-Site Scripting (XSS) no plugin Twentig para WordPress, que afeta versões até 1.9.7. Essa falha ocorre devido à falta de sanitização e escape no parâmetro 'featuredImageSizeWidth', permitindo a injeção de scripts maliciosos. Usuários das versões afetadas devem atualizar para a versão 2.0 para corrigir o problema. A atualização corrige o XSS.
A vulnerabilidade CVE-2026-2602 no plugin Twentig Supercharged Block Editor afeta versões até a 1.9.7. Permite que atacantes autenticados, com acesso de Colaborador ou superior, injetem scripts web maliciosos em páginas do WordPress. Esses scripts serão executados sempre que um usuário acessar a página comprometida, o que pode resultar no roubo de informações confidenciais, na manipulação do conteúdo do site ou no redirecionamento de usuários para sites maliciosos. A pontuação CVSS de 6.4 indica um risco médio, exigindo atenção imediata para evitar possíveis ataques. A falta de sanitização adequada da entrada 'featuredImageSizeWidth' é a principal causa desta vulnerabilidade.
Um atacante com acesso de Colaborador ou superior pode explorar esta vulnerabilidade injetando código JavaScript malicioso no campo 'featuredImageSizeWidth' de uma página. Este código será armazenado no banco de dados e executado no navegador de qualquer usuário que visite a página, independentemente de suas permissões. A facilidade de exploração, combinada com a possibilidade de afetar todos os usuários do site, torna esta vulnerabilidade um risco significativo. O atacante poderia usar esta técnica para roubar cookies de sessão, redirecionar os usuários para sites de phishing ou até mesmo assumir o controle do site.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o plugin Twentig Supercharged Block Editor para a versão 2.0 ou superior, que inclui a correção de segurança para CVE-2026-2602. Se a atualização não for possível imediatamente, restrinja o acesso de usuários com acesso de Colaborador ou superior, limitando sua capacidade de editar páginas. A implementação de um Firewall de Aplicações Web (WAF) também pode ajudar a detectar e bloquear tentativas de injeção de scripts maliciosos. Auditorias de segurança periódicas no site também são cruciais para identificar e mitigar possíveis vulnerabilidades.
Atualize para a versão 2.0, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Em WordPress, um usuário com o papel de 'Colaborador' tem permissão para escrever e publicar posts, mas não pode instalar plugins ou temas, nem modificar as configurações do site.
No painel de administração do WordPress, vá para 'Plugins' e procure por 'Twentig Supercharged Block Editor'. A versão do plugin será exibida abaixo do nome do plugin.
Um WAF (Web Application Firewall) é uma ferramenta de segurança que protege as aplicações web de ataques. Existem vários WAFs disponíveis, tanto como plugins de WordPress quanto serviços na nuvem. Pesquise opções como Wordfence, Sucuri ou Cloudflare.
Embora isso possa reduzir o risco, não é uma solução completa. A atualização para a versão 2.0 ou superior é a maneira mais segura de abordar a vulnerabilidade.
Se você suspeitar que seu site foi comprometido, altere imediatamente todas as senhas de administrador, escaneie seu site em busca de malware e restaure um backup limpo do site.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.