Plataforma
wordpress
Componente
token-of-trust
Corrigido em
3.32.4
3.32.4
A vulnerabilidade CVE-2026-2834 afeta o plugin Age Verification & Identity Verification by Token of Trust para WordPress, permitindo a injeção de scripts Cross-Site Scripting (XSS) armazenados. A vulnerabilidade ocorre devido à falta de sanitização e escaping adequados do parâmetro ‘description’. Atacantes não autenticados podem injetar scripts web arbitrários que serão executados sempre que um usuário acessar uma página injetada. A vulnerabilidade afeta versões do plugin até a 3.32.3, sendo que uma correção foi lançada na versão 3.32.4.
Uma vulnerabilidade de Cross-Site Scripting (XSS) persistente foi descoberta no plugin 'Age Verification & Identity Verification by Token of Trust' para WordPress. Esta vulnerabilidade, identificada como CVE-2026-2834, permite que atacantes não autenticados injetem scripts web maliciosos através do parâmetro 'description'. Uma vez injetado, o script é executado sempre que um usuário acessa a página afetada. Isso representa um risco significativo, pois um atacante pode roubar cookies de sessão, redirecionar usuários para sites maliciosos ou até mesmo obter controle da conta do WordPress. A severidade do CVSS é 7.2, indicando um risco alto. É crucial atualizar o plugin para mitigar este risco.
Um atacante pode explorar esta vulnerabilidade injetando código JavaScript malicioso no campo 'description' do plugin. Este código pode ser injetado através de um formulário administrativo do WordPress ou qualquer outra interface que permita a entrada de dados neste campo. Uma vez injetado, o script será armazenado no banco de dados e executado sempre que um usuário acessar a página que exibe a descrição. O sucesso da exploração depende da configuração do site e das medidas de segurança implementadas. A falta de sanitização da entrada do usuário é a causa principal desta vulnerabilidade.
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o plugin 'Age Verification & Identity Verification by Token of Trust' para a versão 3.32.4 ou superior. Esta atualização inclui as correções necessárias para sanitizar corretamente a entrada do usuário e escapar a saída, prevenindo a injeção de scripts maliciosos. Recomenda-se fortemente aplicar esta atualização o mais rápido possível, especialmente se seu site web lida com informações confidenciais ou possui alto tráfego. Revisar regularmente seus plugins e temas do WordPress em busca de vulnerabilidades de segurança também é recomendado. Implementar uma política de senhas robusta e habilitar a autenticação de dois fatores pode aprimorar ainda mais a segurança do seu site.
Atualize para a versão 3.32.4, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um tipo de vulnerabilidade que permite que um atacante injete código malicioso em um site, que então é executado nos navegadores de outros usuários quando eles visitam a página afetada.
Se você estiver usando uma versão do plugin anterior à 3.32.4, provavelmente está afetado. Atualize imediatamente.
Altere todas as senhas, revise os arquivos do site em busca de código malicioso e considere consultar um profissional de segurança.
Sim, use senhas fortes, habilite a autenticação de dois fatores e mantenha seu software atualizado.
Você pode encontrar mais informações no banco de dados de vulnerabilidades CVE (Common Vulnerabilities and Exposures) sob o ID CVE-2026-2834.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.