Plataforma
wordpress
Componente
molla
Corrigido em
1.5.20
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no tema Molla para WordPress. Essa falha permite que atacantes injetem scripts maliciosos nas páginas web, potencialmente roubando informações confidenciais ou comprometendo a integridade do site. A vulnerabilidade afeta versões do Molla anteriores à 1.5.19 e foi publicada em 25 de março de 2026. A correção está disponível na versão 1.5.19.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou até mesmo à execução de código arbitrário no servidor, dependendo das permissões do usuário WordPress. Um atacante pode criar um link especialmente elaborado contendo o script malicioso e enviar esse link para usuários legítimos, induzindo-os a clicar e, assim, executar o código malicioso. A gravidade da vulnerabilidade é alta devido ao seu potencial de comprometer a segurança do site e dos seus usuários.
A vulnerabilidade foi divulgada publicamente em 25 de março de 2026. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A ausência de um Proof of Concept (PoC) público não diminui a importância de mitigar a vulnerabilidade, pois a criação de um PoC é relativamente simples para XSS. A vulnerabilidade não está listada no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA.
Websites using the Molla WordPress theme, particularly those with user input fields or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised Molla installation on one site could potentially impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/themes/molla/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep molladisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
Vetor CVSS
A mitigação primária é atualizar o tema Molla para a versão 1.5.19 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode ajudar a mitigar o risco. Monitore os logs do servidor e do WordPress em busca de atividades suspeitas, como solicitações com parâmetros de URL incomuns ou tentativas de executar scripts desconhecidos.
Atualize para a versão 1.5.19 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32529 is a Reflected Cross-Site Scripting (XSS) vulnerability affecting Molla WordPress themes before version 1.5.19, allowing attackers to inject malicious scripts.
You are affected if you are using Molla WordPress theme versions prior to 1.5.19. Check your theme version and update immediately if necessary.
Upgrade the Molla WordPress theme to version 1.5.19 or later. Consider input validation and WAF rules as additional protection.
While no active exploitation campaigns have been confirmed, the vulnerability is likely to be targeted due to its ease of exploitation.
Refer to the official Molla theme documentation and WordPress plugin repository for updates and security advisories related to CVE-2026-32529.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.