Plataforma
wordpress
Componente
taboola-pixel
Corrigido em
1.1.5
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Taboola Pixel, permitindo a injeção de scripts maliciosos nas páginas web. Essa falha, classificada com severidade ALTA (CVSS 7.1), afeta versões do Taboola Pixel anteriores ou iguais a 1.1.4. A atualização para a versão 1.1.5 resolve o problema, mitigando o risco de ataques XSS.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de um usuário que visita uma página web vulnerável. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página web. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para obter acesso a informações confidenciais ou comprometer a conta do usuário. A natureza refletida do XSS significa que o ataque depende da manipulação de entradas fornecidas pelo usuário, tornando-o particularmente perigoso em sites que não validam adequadamente a entrada do usuário.
A vulnerabilidade foi divulgada em 2026-03-25. Não há evidências de exploração ativa em campanhas direcionadas no momento da divulgação. Não está listada no KEV da CISA. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza do XSS a torna um alvo potencial para ataques automatizados.
Websites utilizing the Taboola Pixel component, particularly those with user-supplied input that is not properly sanitized before being used within the Taboola Pixel, are at risk. Shared hosting environments where multiple websites share the same Taboola Pixel installation are also potentially vulnerable, as a compromise on one site could impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/taboola-pixel/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep taboola-pixeldisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
Vetor CVSS
A principal mitigação para esta vulnerabilidade é a atualização imediata do Taboola Pixel para a versão 1.1.5 ou superior. Enquanto a atualização não for possível, implemente medidas de validação de entrada e escape de saída em todos os pontos onde dados do usuário são processados e exibidos. Utilize uma Web Application Firewall (WAF) com regras específicas para detectar e bloquear payloads XSS comuns. Além disso, revise e fortaleça as políticas de segurança do conteúdo (CSP) para restringir as fontes de scripts que podem ser executados na página web.
Atualize para a versão 1.1.5 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32545 is a Reflected XSS vulnerability in Taboola Pixel, allowing attackers to inject malicious scripts via crafted URLs. It affects versions up to 1.1.4 and has a CVSS score of 7.1 (HIGH).
You are affected if you are using Taboola Pixel versions prior to 1.1.5 and have not implemented adequate input validation and output encoding.
Upgrade Taboola Pixel to version 1.1.5 or later. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-32545, but the vulnerability remains a potential risk.
Please refer to the official Taboola security advisory for detailed information and updates regarding CVE-2026-32545.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.