Plataforma
wordpress
Componente
instagram-slider-widget
Corrigido em
2.3.3
O plugin Social Slider Feed para WordPress é vulnerável a Cross-Site Scripting (XSS) armazenado em versões até, e incluindo, 2.3.2. A vulnerabilidade se deve à falta de sanitização e escape adequados da entrada, permitindo que atacantes não autenticados injetem scripts web arbitrários. Essa injeção pode ser executada sempre que um usuário acessar uma página comprometida, resultando em roubo de dados ou controle da sessão do usuário.
Um atacante pode explorar essa vulnerabilidade para injetar código JavaScript malicioso em páginas do WordPress que utilizam o plugin Social Slider Feed. Este código pode ser usado para roubar cookies de sessão, redirecionar usuários para sites maliciosos, exibir conteúdo falso ou até mesmo executar ações em nome do usuário. O impacto é ampliado se o site WordPress for utilizado para fins críticos, como e-commerce ou gerenciamento de informações confidenciais, pois um atacante pode obter acesso a dados sensíveis ou comprometer a integridade do site. A exploração bem-sucedida pode levar à defacement do site, roubo de credenciais de usuários e até mesmo à tomada de controle do servidor.
Esta vulnerabilidade foi divulgada em 2026-04-16. Não há relatos públicos de exploração ativa no momento, mas a natureza da vulnerabilidade XSS a torna um alvo atraente para atacantes. A ausência de um KEV listing indica que a vulnerabilidade ainda não foi considerada uma ameaça crítica pelo CISA. É recomendável aplicar as medidas de mitigação o mais rápido possível para reduzir o risco de exploração.
Websites using the Social Slider Feed plugin, particularly those running older versions (≤2.3.2), are at risk. Shared hosting environments where multiple websites share the same server infrastructure are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/social-slider-feed/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'social-slider-feed'• wordpress / composer / npm:
wp plugin update social-slider-feed --all• generic web: Check for unusual JavaScript behavior or unexpected redirects on pages utilizing the Social Slider Feed plugin.
disclosure
Status do Exploit
Vetor CVSS
A mitigação primária é atualizar o plugin Social Slider Feed para a versão 2.3.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a aplicação de regras de firewall de aplicativos web (WAF) para bloquear payloads XSS conhecidos. Além disso, revise o código do plugin para identificar e corrigir outras possíveis vulnerabilidades de XSS. Monitore os logs do servidor e do WordPress em busca de atividades suspeitas, como tentativas de injeção de scripts.
Atualize para a versão 2.3.3, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39507 is a Stored Cross-Site Scripting (XSS) vulnerability affecting the Social Slider Feed plugin for WordPress versions up to 2.3.2, allowing attackers to inject malicious scripts.
You are affected if you are using the Social Slider Feed plugin version 2.3.2 or earlier. Upgrade to 2.3.3 or later to mitigate the risk.
Upgrade the Social Slider Feed plugin to version 2.3.3 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There are currently no known public exploits or active campaigns targeting this vulnerability, but exploitation is possible.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.