Plataforma
wordpress
Componente
scoreboard-for-html5-game-lite
Corrigido em
1.2.1
Uma vulnerabilidade de permissões foi identificada em pyload-ng WebUI, permitindo que usuários autenticados com privilégios limitados executem ações que deveriam ser restritas pelo modelo de permissões do pyLoad. Essa falha permite a reordenação de pacotes e arquivos, bem como a interrupção de downloads, por usuários que não deveriam ter essa capacidade. A vulnerabilidade afeta versões do pyload-ng até a 0.5.0b3 e está em processo de correção.
A vulnerabilidade CVE-2026-4083 afeta o plugin 'Scoreboard for HTML5 Games Lite' para WordPress, permitindo um ataque de Cross-Site Scripting (XSS) persistente. Isso ocorre através do uso do shortcode 'scoreboard' em versões até a 1.2. O código do plugin permite a inclusão de atributos HTML arbitrários dentro do elemento <iframe> gerado. Embora uma lista negra limitada de quatro nomes de atributos (sameheightas, onload, onpageshow, onclick) seja aplicada, e funções como eschtml() e escattr() sejam utilizadas, a proteção é insuficiente. Um atacante pode injetar código JavaScript malicioso que é executado no navegador de outros usuários ao carregarem a página que contém o shortcode, comprometendo potencialmente suas sessões ou roubando informações sensíveis. A pontuação CVSS é de 6.4, indicando um risco médio-alto.
Um atacante pode injetar código malicioso em um atributo de um iframe através do shortcode 'scoreboard'. Por exemplo, eles podem inserir um atributo personalizado contendo código JavaScript. Quando um usuário visita uma página contendo este shortcode, o navegador executa o código JavaScript injetado, permitindo que o atacante roube cookies, redirecione o usuário para um site malicioso ou realize outras ações maliciosas em nome do usuário. A falta de validação robusta dos atributos do iframe torna esta vulnerabilidade explorável.
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A solução imediata é atualizar o plugin 'Scoreboard for HTML5 Games Lite' para a versão 1.3 ou posterior. Esta versão corrige a vulnerabilidade implementando uma validação mais rigorosa dos atributos HTML permitidos dentro do shortcode 'scoreboard'. Além disso, revise todas as páginas que utilizam este shortcode para garantir que nenhum conteúdo malicioso já foi injetado. Como medida preventiva, mantenha todos os plugins e o núcleo do WordPress atualizados para as últimas versões disponíveis. A implementação de um Firewall de Aplicações Web (WAF) também pode ajudar a mitigar o risco de ataques XSS.
Update to version 1.3, or a newer patched version
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
Se você estiver usando o plugin 'Scoreboard for HTML5 Games Lite' em uma versão anterior à 1.3, seu site provavelmente é vulnerável. Revise as páginas que utilizam o shortcode 'scoreboard'.
Sim, a atualização para a versão 1.3 corrige a vulnerabilidade. No entanto, é sempre recomendável manter todos os plugins e o núcleo do WordPress atualizados.
Um WAF (Web Application Firewall) é uma ferramenta de segurança que protege as aplicações web de ataques comuns, como XSS e injeção de SQL.
Você pode encontrar mais informações sobre CVE-2026-4083 em bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD) da NIST.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.