Plataforma
wordpress
Componente
worker
Corrigido em
4.9.32
O plugin ManageWP Worker para WordPress é vulnerável a Cross-Site Scripting (XSS) armazenado nas versões até e incluindo 4.9.31. A falha ocorre devido à sanitização inadequada de entrada e à falta de escape de saída, permitindo que atacantes não autenticados injetem scripts web arbitrários em páginas acessadas por usuários. Essa vulnerabilidade pode levar à execução de código malicioso no navegador dos usuários.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos em páginas do WordPress acessadas por usuários do site. Esses scripts podem ser usados para roubar cookies de sessão, redirecionar usuários para sites maliciosos, exibir conteúdo falso ou até mesmo realizar ações em nome do usuário afetado. O impacto pode variar dependendo do contexto da aplicação e das permissões do usuário, mas em cenários críticos, pode levar ao comprometimento completo do site e dos dados dos usuários. A exploração bem-sucedida pode resultar em roubo de informações confidenciais, defacement do site e perda de confiança dos usuários.
A vulnerabilidade foi divulgada em 2026-04-13. Não há relatos públicos de exploração ativa no momento, mas a natureza da vulnerabilidade XSS a torna um alvo potencial para atacantes. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração de XSS é relativamente simples. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
WordPress websites utilizing the ManageWP Worker plugin, particularly those running versions 4.9.31 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites heavily reliant on user-generated content within the ManageWP Worker plugin are also more vulnerable.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/managewp-worker/• wordpress / composer / npm:
wp plugin list --status=active | grep managewp-worker• wordpress / composer / npm:
wp plugin update managewp-worker --alldisclosure
patch
Status do Exploit
Vetor CVSS
A mitigação primária é atualizar o plugin ManageWP Worker para a versão 4.9.32 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a aplicação de regras de firewall de aplicação web (WAF) para bloquear payloads XSS conhecidos. Além disso, revise e sanitize cuidadosamente todas as entradas de usuário antes de exibi-las no site. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando injetar um script de teste em um formulário ou campo de entrada e confirmando que ele não é executado.
Atualize para a versão 4.9.32, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39463 is a Stored Cross-Site Scripting (XSS) vulnerability in the ManageWP Worker WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ManageWP Worker plugin versions 4.9.31 or earlier. Upgrade to 4.9.32 to resolve the issue.
Upgrade the ManageWP Worker plugin to version 4.9.32 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
While no public exploits are currently known, the ease of exploitation for XSS vulnerabilities suggests a potential risk of exploitation.
Refer to the ManageWP website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.