Plataforma
wordpress
Componente
revisionary
Corrigido em
3.7.24
A vulnerabilidade CVE-2026-32539 é uma falha de injeção SQL cega identificada no plugin PublishPress Revisions para WordPress. Essa falha permite que um atacante execute comandos SQL maliciosos, potencialmente acessando e extraindo dados sensíveis do banco de dados. Versões afetadas incluem todas as versões anteriores ou iguais a 3.7.23. Uma correção foi lançada na versão 3.7.24.
A injeção SQL cega permite que um atacante explore a vulnerabilidade sem ver diretamente os resultados das consultas SQL. Isso significa que o atacante pode, gradualmente, inferir informações sobre a estrutura do banco de dados e os dados armazenados. Um atacante pode usar essa vulnerabilidade para extrair informações confidenciais, como nomes de usuário, senhas, dados de clientes e informações financeiras. Em cenários mais graves, a injeção SQL pode ser usada para modificar ou até mesmo excluir dados no banco de dados, comprometendo a integridade do site. A natureza cega da injeção torna a detecção mais difícil, pois não há feedback imediato sobre o sucesso das consultas.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco imediato, mas a severidade CRÍTICA da vulnerabilidade indica que ela deve ser tratada com alta prioridade.
WordPress sites utilizing PublishPress Revisions plugin, particularly those running older versions (prior to 3.7.24), are at risk. Shared hosting environments where plugin updates are not managed by the site administrator are also particularly vulnerable. Sites that store sensitive user data within the WordPress database are at the highest risk.
• wordpress / composer / npm:
grep -r "SELECT .* FROM" /var/www/html/wp-content/plugins/publishpress-revisions/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=revisionary_get_revisions&post_id=1 2>&1 | grep SQL• wordpress / composer / npm:
wp plugin list --status=all | grep publishpress-revisionsdisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
Vetor CVSS
A mitigação primária para CVE-2026-32539 é atualizar o plugin PublishPress Revisions para a versão 3.7.24 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Implementar regras de firewall de aplicação web (WAF) que filtrem consultas SQL suspeitas pode fornecer uma camada adicional de proteção. Além disso, revise as permissões do banco de dados para garantir que o usuário do WordPress tenha apenas as permissões necessárias. Após a atualização, confirme a correção executando testes de penetração ou utilizando ferramentas de varredura de vulnerabilidades para verificar se a falha foi corrigida.
Atualize para a versão 3.7.24 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32539 is a critical SQL Injection vulnerability affecting PublishPress Revisions versions up to 3.7.23, allowing attackers to potentially extract sensitive data through Blind SQL Injection.
You are affected if you are using PublishPress Revisions version 3.7.23 or earlier. Immediately check your plugin version and upgrade if necessary.
Upgrade PublishPress Revisions to version 3.7.24 or later to resolve the vulnerability. Consider temporary mitigations like WAF rules if immediate upgrade is not possible.
While no active exploitation has been publicly confirmed, the critical severity and nature of Blind SQL Injection suggest a high potential for exploitation.
Refer to the official PublishPress security advisory on their website for detailed information and updates regarding CVE-2026-32539.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.