Escanear grátis
Análise pendenteCVE-2026-6177

CVE-2026-6177: XSS no Custom Twitter Feeds – A Tweets Widget

Plataforma

wordpress

Componente

custom-twitter-feeds

Corrigido em

2.5.5

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-6177 é uma falha de Cross-Site Scripting (XSS) armazenada presente no plugin Custom Twitter Feeds – A Tweets Widget para WordPress, afetando versões de 1.0.0 até 2.5.4. A exploração permite a injeção de scripts maliciosos no site, potencialmente comprometendo a segurança dos usuários. A correção foi disponibilizada na versão 2.5.5 do plugin.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataque

Um atacante pode explorar esta vulnerabilidade injetando conteúdo malicioso em tweets que são armazenados em cache pelo plugin. Ao acessar a ação AJAX ctfgetmoreposts, que é acessível a usuários não autenticados, o atacante pode executar scripts maliciosos no navegador de outros usuários. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página. A ausência de escaping adequado em CTFDisplayElements::getpost_text() torna a vulnerabilidade particularmente perigosa, pois permite a persistência do script malicioso no cache do plugin.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-13. Não há informações disponíveis sobre a exploração ativa desta vulnerabilidade em campanhas direcionadas. A ausência de um EPSS score indica uma probabilidade de exploração baixa a média. A vulnerabilidade é considerada de alta severidade devido ao potencial impacto de XSS armazenado.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

CISA SSVC

Exploraçãonone
Automatizávelyes
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentecustom-twitter-feeds
Fornecedorwordfence
Versão mínima1.0.0
Versão máxima2.5.4
Corrigido em2.5.5

Classificação de Fraqueza (CWE)

CWE-79

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é atualizar o plugin Custom Twitter Feeds para a versão 2.5.5 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desativar temporariamente a ação AJAX ctfgetmore_posts ou restringir o acesso a ela apenas a usuários autenticados. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a reduzir o risco. Monitore os logs do WordPress em busca de padrões suspeitos relacionados à ação AJAX e à função nl2br().

Como corrigir

Atualize para a versão 2.5.5, ou uma versão corrigida mais recente

Perguntas frequentes

O que é CVE-2026-6177 — XSS no Custom Twitter Feeds – A Tweets Widget?

CVE-2026-6177 é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no plugin Custom Twitter Feeds para WordPress, permitindo a injeção de scripts maliciosos em tweets armazenados em cache.

Estou afetado pelo CVE-2026-6177 no Custom Twitter Feeds – A Tweets Widget?

Se você estiver usando o plugin Custom Twitter Feeds – A Tweets Widget nas versões de 1.0.0 a 2.5.4, você está afetado por esta vulnerabilidade.

Como corrigir CVE-2026-6177 no Custom Twitter Feeds – A Tweets Widget?

A correção é atualizar o plugin para a versão 2.5.5 ou superior. Se a atualização não for possível, aplique medidas de mitigação como desativar a ação AJAX ou restringir o acesso.

CVE-2026-6177 está sendo ativamente explorado?

Atualmente, não há informações disponíveis sobre a exploração ativa desta vulnerabilidade em campanhas direcionadas, mas a probabilidade de exploração é baixa a média.

Onde posso encontrar o advisory oficial do Custom Twitter Feeds – A Tweets Widget para CVE-2026-6177?

Consulte o site do desenvolvedor do plugin ou o repositório do WordPress para obter o advisory oficial e as instruções de atualização.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis
ao vivoverificação gratuita

Escaneie seu projeto WordPress agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...