Plataforma
wordpress
Componente
oopspam-anti-spam
Corrigido em
1.2.63
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin OOPSpam Anti-Spam. Essa falha permite que atacantes injetem scripts maliciosos nas páginas web, potencialmente roubando informações sensíveis ou comprometendo a integridade do site. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 1.2.62, sendo corrigida na versão 1.2.63.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de usuários que visitam páginas afetadas. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução de código arbitrário no contexto do site. O impacto pode ser significativo, especialmente em sites com informações confidenciais ou que processam transações financeiras. Um atacante pode usar essa vulnerabilidade para realizar phishing, roubar credenciais de usuários ou desfigurar o site, prejudicando a reputação e a confiança dos usuários.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação das medidas de mitigação é crucial.
WordPress websites utilizing the OOPSpam Anti-Spam plugin, particularly those running versions prior to 1.2.63, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to lateral movement to others.
• wordpress / composer / npm:
grep -r 'oopspam-anti-spam' /var/www/html/wp-content/plugins/
wp plugin list | grep oopspam-anti-spam• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oopspam-anti-spam/ | grep X-Powered-Bydisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
Vetor CVSS
A mitigação primária é atualizar o plugin OOPSpam Anti-Spam para a versão 1.2.63 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as entradas do usuário. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do servidor e do plugin em busca de atividades suspeitas, como tentativas de injeção de scripts. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando injetar um payload XSS simples em um campo de entrada e confirmando que ele não é executado.
Atualize para a versão 1.2.63, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32544 is a Stored Cross-Site Scripting (XSS) vulnerability affecting OOPSpam Anti-Spam versions up to 1.2.62, allowing attackers to inject malicious scripts.
You are affected if you are using OOPSpam Anti-Spam versions prior to 1.2.63. Check your plugin version and upgrade immediately if necessary.
Upgrade OOPSpam Anti-Spam to version 1.2.63 or later. Consider implementing input validation and output encoding as an additional precaution.
No active exploitation has been publicly reported, but the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the OOPSpam Anti-Spam website or WordPress plugin repository for the official advisory and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.