Plataforma
wordpress
Componente
xpro-elementor-addons
Corrigido em
1.4.25
CVE-2026-2949 é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no plugin Xpro Addons — 140+ Widgets for Elementor para WordPress. A falha permite que atacantes autenticados, com acesso de nível de colaborador ou superior, injetem scripts da web arbitrários em páginas, que serão executados sempre que um usuário acessar a página injetada. Afeta versões até a 1.4.24. A vulnerabilidade foi corrigida na versão 1.4.25.
A vulnerabilidade CVE-2026-2949 no plugin Xpro Addons para WordPress, especificamente no widget Icon Box, permite um ataque de Cross-Site Scripting (XSS) armazenado. Isso significa que um atacante autenticado com privilégios de colaborador ou superiores pode injetar código JavaScript malicioso em páginas do WordPress. Quando outros usuários visitam essas páginas, o código injetado é executado em seus navegadores, o que poderia permitir ao atacante roubar informações sensíveis, redirecionar os usuários para sites maliciosos ou realizar ações em nome do usuário afetado. A gravidade deste problema é avaliada em 6.4 na escala CVSS, o que indica um risco moderado a alto, especialmente para sites com muitos usuários ou que manipulam informações confidenciais.
Um atacante com privilégios de colaborador ou superiores em um site WordPress que utiliza Xpro Addons versão 1.4.24 ou anterior pode explorar esta vulnerabilidade. O ataque é realizado injetando código JavaScript malicioso através do widget Icon Box. Este código é armazenado na base de dados do site web e é executado cada vez que um usuário visita a página onde o script foi injetado. A falta de uma validação e escape adequados da entrada do usuário permite esta injeção. O sucesso do ataque depende da capacidade do atacante para obter acesso autenticado ao painel de administração do WordPress.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução mais eficaz para mitigar este risco é atualizar o plugin Xpro Addons para a versão 1.4.25 ou superior. Esta versão inclui as correções necessárias para prevenir a injeção de scripts maliciosos. Além disso, recomenda-se revisar as páginas do WordPress em busca de conteúdo suspeito, especialmente aquelas criadas ou editadas por usuários com permissões elevadas. Implementar uma política de segurança de senhas robusta e habilitar a autenticação de dois fatores (2FA) para todos os usuários com acesso administrativo pode ajudar a prevenir que os atacantes obtenham acesso ao seu site web em primeiro lugar. Realizar auditorias de segurança periódicas também é uma boa prática.
Atualize para a versão 1.4.25 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS é um tipo de vulnerabilidade de segurança que permite a atacantes injetar scripts maliciosos em sites web que são vistos por outros usuários. Estes scripts podem roubar informações, redirecionar os usuários ou realizar ações em seu nome.
Autenticado significa que o atacante deve ter iniciado sessão no site web WordPress com uma conta que tenha privilégios de colaborador ou superiores.
Se você estiver utilizando Xpro Addons versão 1.4.24 ou anterior, seu site web é vulnerável. Atualize o plugin para a última versão para solucionar o problema.
Se você suspeitar que seu site web foi comprometido, altere imediatamente todas as senhas de administrador, escaneie seu site web em busca de malware e considere restaurar uma cópia de segurança limpa.
Sim, você pode implementar uma política de segurança de senhas robusta, habilitar a autenticação de dois fatores (2FA), manter todos os seus plugins e temas atualizados e utilizar um firewall de aplicações web (WAF).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.