Plataforma
wordpress
Componente
social-networks-auto-poster-facebook-twitter-g
Corrigido em
4.4.7
A vulnerabilidade CVE-2026-3228 é uma falha de Cross-Site Scripting (XSS) armazenado encontrada no plugin NextScripts Social Networks Auto-Poster para WordPress. Essa falha permite que atacantes autenticados, com permissões de Contributor ou superiores, injetem scripts web arbitrários em páginas acessadas por outros usuários. A vulnerabilidade afeta versões do plugin de 0.0.0 até 4.4.6, sendo corrigida na versão 4.4.7.
Um atacante explorando essa vulnerabilidade pode injetar código JavaScript malicioso nas páginas do WordPress através do shortcode [nxs_fbembed]. Quando um usuário acessa uma página contendo esse script injetado, o código é executado no navegador do usuário, permitindo ao atacante roubar cookies de sessão, redirecionar o usuário para sites maliciosos, ou modificar o conteúdo da página. O impacto é amplificado se o atacante conseguir comprometer contas de administradores ou usuários com privilégios elevados, permitindo o controle total do site WordPress. A exploração bem-sucedida pode levar à exfiltração de dados sensíveis, defacement do site e comprometimento da reputação.
A vulnerabilidade foi divulgada publicamente em 10 de março de 2026. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 6.4 (Médio) indica uma probabilidade moderada de exploração, especialmente em sites WordPress com muitos usuários e permissões de Contributor concedidas. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco, mas a natureza da vulnerabilidade XSS a torna um alvo potencial para atacantes.
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin NextScripts Social Networks Auto-Poster para a versão 4.4.7 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar o shortcode [nxs_fbembed] ou restringir seu uso a usuários confiáveis. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Além disso, revise e sanitize cuidadosamente qualquer entrada de dados do usuário antes de exibi-la em páginas do WordPress.
Atualize para a versão 4.4.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
It's a stored Cross-Site Scripting (XSS) vulnerability in the NextScripts Social Networks Auto-Poster WordPress plugin, allowing attackers to inject malicious scripts.
If you're using NextScripts Social Networks Auto-Poster version 0.0.0 through 4.4.6 on your WordPress site, you are vulnerable.
Upgrade the plugin to version 4.4.7 or later. Consider a WAF rule as a temporary workaround if upgrading is not immediately possible.
Currently, there are no public exploits or reports of active exploitation, but vigilance is always recommended.
Refer to the NVD entry for CVE-2026-3228 for detailed information and updates: [https://nvd.nist.gov/vuln/detail/CVE-2026-3228](https://nvd.nist.gov/vuln/detail/CVE-2026-3228)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.