Plataforma
wordpress
Componente
prismatic
Corrigido em
3.7.4
3.7.4
A vulnerabilidade CVE-2026-3876 é uma falha de Cross-Site Scripting (XSS) armazenado identificada no plugin Prismatic para WordPress. Essa falha permite que atacantes não autenticados injetem scripts web arbitrários em páginas, explorando a falta de sanitização e escaping adequados nos atributos fornecidos pelo usuário no pseudo-shortcode 'prismatic_encoded'. Versões do plugin Prismatic até a 3.7.3 são afetadas, e a correção está disponível na versão 3.7.4.
Um atacante pode explorar essa vulnerabilidade injetando código JavaScript malicioso através de um comentário contendo um pseudo-shortcode 'prismatic_encoded' especialmente elaborado. Quando um usuário acessa a página com o comentário, o script injetado é executado no navegador do usuário, permitindo ao atacante roubar cookies de sessão, redirecionar o usuário para sites maliciosos ou modificar o conteúdo da página. O impacto pode ser significativo, especialmente em sites com grande tráfego ou que lidam com informações sensíveis, pois a exploração bem-sucedida pode levar ao comprometimento de contas de usuário e à disseminação de malware. A vulnerabilidade se assemelha a outras falhas de XSS em plugins WordPress, onde a falta de validação de entrada é a causa raiz.
A vulnerabilidade foi divulgada em 2026-04-16. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há relatos públicos de exploração ativa, mas a disponibilidade de um proof-of-concept (POC) pode aumentar o risco de exploração. Consulte o aviso oficial do WordPress e o repositório do plugin Prismatic para obter informações adicionais.
Websites using the Prismatic WordPress plugin, especially those with public comment sections or forums, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are particularly vulnerable, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'prismatic_encoded' /var/www/html/wp-content/plugins/prismatic/• wordpress / composer / npm:
wp plugin list | grep prismatic• wordpress / composer / npm:
wp plugin update prismatic• generic web: Inspect comment fields for suspicious shortcode usage, particularly those containing encoded characters.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-3876 é atualizar o plugin Prismatic para a versão 3.7.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar o plugin Prismatic temporariamente. Como medida adicional, implemente regras em um Web Application Firewall (WAF) para bloquear solicitações contendo o pseudo-shortcode 'prismatic_encoded' com payloads suspeitos. Monitore logs de acesso e erro do WordPress em busca de padrões de injeção de script, como a presença de tags <script> ou URLs suspeitas nos comentários.
Atualize para a versão 3.7.4, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3876 is a Stored XSS vulnerability in the Prismatic WordPress plugin, allowing attackers to inject malicious scripts via the 'prismatic_encoded' shortcode.
You are affected if you are using Prismatic WordPress plugin versions prior to 3.7.4. Check your plugin version and upgrade immediately.
Upgrade the Prismatic WordPress plugin to version 3.7.4 or later. If immediate upgrade is not possible, disable the plugin as a temporary workaround.
There are currently no known active campaigns exploiting CVE-2026-3876, but prompt remediation is still recommended.
Refer to the Prismatic plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.