Plataforma
wordpress
Componente
ays-slider
Corrigido em
2.7.2
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin Image Slider by Ays. Esta falha permite a exploração de níveis de segurança de acesso mal configurados, possibilitando a injeção de scripts maliciosos em páginas web. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 2.7.1, sendo corrigida na versão 2.7.2.
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos nas páginas web que utilizam o Image Slider by Ays. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução de código arbitrário no navegador da vítima. O impacto pode ser significativo, especialmente em sites com grande volume de tráfego ou que lidam com informações sensíveis, como dados de login ou informações pessoais dos usuários. A exploração bem-sucedida pode comprometer a integridade e a confidencialidade dos dados do site e de seus usuários.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. A vulnerabilidade foi adicionada ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, indicando um risco potencial para a segurança cibernética.
Websites utilizing the Ays Pro Image Slider plugin, particularly those with user authentication or sensitive data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r "ays-slider" /var/www/html/wp-content/plugins/
wp plugin list | grep "Ays Pro Image Slider"• generic web:
curl -I https://example.com/ays-slider/ | grep -i "X-XSS-Protection"disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
Vetor CVSS
A mitigação primária é atualizar o plugin Image Slider by Ays para a versão 2.7.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as entradas de dados do usuário. Utilize um Web Application Firewall (WAF) para filtrar solicitações maliciosas e bloquear tentativas de exploração. Monitore os logs do servidor em busca de padrões suspeitos de atividade XSS.
Atualize para a versão 2.7.2 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32494 is a Cross-Site Scripting (XSS) vulnerability affecting the Ays Pro Image Slider plugin for WordPress, allowing attackers to inject malicious scripts.
You are affected if you are using Ays Pro Image Slider version 2.7.1 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Ays Pro Image Slider plugin to version 2.7.2 or later. This resolves the XSS vulnerability.
There are currently no confirmed reports of active exploitation, but the vulnerability poses a significant risk and should be patched promptly.
Refer to the Ays Pro Image Slider website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.