Plataforma
wordpress
Componente
otm-accessibly
Corrigido em
3.0.4
3.0.4
O plugin Accessibly para WordPress apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. Esta falha ocorre devido à falta de autenticação nas APIs REST /otm-ac/v1/update-widget-options e /otm-ac/v1/update-app-config. Versões do plugin até, e incluindo, 3.0.3 são afetadas. A correção está disponível em versões posteriores.
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos no site WordPress. Esses scripts podem ser executados no navegador de outros usuários, permitindo que o atacante roube cookies, redirecione usuários para sites maliciosos, ou modifique o conteúdo da página. A falta de autenticação nas APIs REST torna a exploração relativamente simples, especialmente para usuários com acesso limitado ao site. O impacto pode variar desde a exibição de mensagens falsas até o comprometimento completo da conta de administrador.
Esta vulnerabilidade foi divulgada publicamente em 14 de abril de 2026. Não há relatos de exploração ativa no momento, mas a facilidade de exploração sugere que pode ser alvo de ataques. A ausência de autenticação nas APIs REST aumenta a probabilidade de exploração. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --alldisclosure
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Accessibly para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar temporariamente as APIs REST vulneráveis (/otm-ac/v1/update-widget-options e /otm-ac/v1/update-app-config) através de um plugin de segurança ou modificando o arquivo .htaccess. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações maliciosas direcionadas a essas APIs também pode ajudar. Monitore os logs do WordPress em busca de atividades suspeitas.
Nenhuma correção conhecida disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3643 is a stored Cross-Site Scripting (XSS) vulnerability in the Accessibly WordPress plugin, allowing attackers to inject malicious scripts via unprotected REST API endpoints.
You are affected if you are using the Accessibly plugin in versions 3.0.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Accessibly plugin to a version higher than 3.0.3. As a temporary measure, disable the plugin or restrict access to the vulnerable REST API endpoints.
While no public exploits have been released, the lack of authentication makes it a likely target for exploitation.
Refer to the Accessibly plugin's official website or WordPress plugin repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.