Plataforma
wordpress
Componente
contact-manager
Corrigido em
9.1.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no Kleor Contact Manager. Essa falha permite que atacantes injetem scripts maliciosos em páginas web, potencialmente comprometendo a segurança dos usuários. A vulnerabilidade afeta versões do Kleor Contact Manager anteriores ou iguais a 9.1, sendo corrigida na versão 9.1.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação do conteúdo da página web. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para obter acesso a informações confidenciais ou realizar ações em nome do usuário afetado. A ausência de sanitização adequada da entrada do usuário torna o Kleor Contact Manager suscetível a ataques XSS, colocando em risco a integridade e confidencialidade dos dados.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento. A existência de uma vulnerabilidade XSS refletida, especialmente em um plugin popular como o Kleor Contact Manager, aumenta o risco de exploração, especialmente se não houver atualizações imediatas.
Websites using the Kleor Contact Manager plugin, particularly those running older versions (prior to 9.1.1), are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "contact-manager" /var/www/html/wp-content/plugins/
wp plugin list | grep contact-manager• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 9.1.1 do Kleor Contact Manager. Se a atualização não for possível no momento, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas do usuário no lado do servidor. Implementar políticas de Content Security Policy (CSP) pode ajudar a reduzir o impacto de ataques XSS, restringindo as fontes de scripts que podem ser executados no navegador. Monitore logs de acesso e erro em busca de padrões suspeitos de injeção de script.
Atualize para a versão 9.1.1, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32517 is a Reflected XSS vulnerability affecting Kleor Contact Manager versions up to 9.1, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Kleor Contact Manager version 9.1 or earlier. Upgrade to 9.1.1 to mitigate the risk.
Upgrade Kleor Contact Manager to version 9.1.1 or later. Consider input validation and output encoding as an interim measure.
No active exploitation has been confirmed at this time, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the Kleor Contact Manager website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.