Plataforma
wordpress
Componente
woo-abandoned-cart-recovery
Corrigido em
1.1.11
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin Abandoned Cart Recovery for WooCommerce, desenvolvido pela VillaTheme. Essa falha permite que atacantes injetem scripts maliciosos nas páginas web, potencialmente comprometendo a segurança do site e roubando informações sensíveis. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 1.1.10, sendo corrigida na versão 1.1.11.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de usuários que visitam páginas afetadas. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página web. Em cenários mais graves, um atacante pode obter controle total sobre o site, especialmente se o plugin for usado em conjunto com outras funcionalidades que exigem autenticação. A vulnerabilidade é classificada como de alta severidade devido ao seu potencial de causar danos significativos.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há evidências de exploração ativa em larga escala no momento da divulgação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco, mas a natureza da vulnerabilidade XSS sugere que ela pode ser explorada relativamente facilmente. A inclusão desta vulnerabilidade no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA é pendente.
WooCommerce store owners using the Abandoned Cart Recovery for WooCommerce plugin, particularly those running older versions (prior to 1.1.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "villaTheme Abandoned Cart Recovery" /var/www/html/wp-content/plugins/
wp plugin list | grep abandoned-cart-recovery• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=abandoned_cart_recovery_save_data | grep -i content-security-policydisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Abandoned Cart Recovery for WooCommerce para a versão 1.1.11 ou superior, que inclui a correção da falha XSS. Se a atualização imediata não for possível, considere implementar medidas de mitigação adicionais, como a aplicação de regras em um Web Application Firewall (WAF) para bloquear payloads XSS conhecidos. Além disso, revise e sanitize cuidadosamente todas as entradas de dados do usuário para evitar a injeção de scripts maliciosos. Monitore os logs do servidor em busca de atividades suspeitas.
Atualize para a versão 1.1.11 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32526 is a Stored Cross-Site Scripting (XSS) vulnerability in the VillaTheme Abandoned Cart Recovery for WooCommerce plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Abandoned Cart Recovery for WooCommerce versions prior to 1.1.11. Upgrade immediately to mitigate the risk.
Upgrade the plugin to version 1.1.11 or later. If upgrading is not possible, temporarily disable the plugin.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests it could be targeted.
Refer to the VillaTheme website and WooCommerce plugin repository for the latest security advisories and updates regarding CVE-2026-32526.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.