平台
wordpress
组件
taboola-pixel
修复版本
1.1.5
CVE-2026-32545 描述了 Taboola Pixel 在版本小于或等于 1.1.4 时存在的跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者通过注入恶意脚本来控制受影响网站的浏览器行为,可能导致敏感信息泄露或用户被重定向至恶意网站。受影响的版本包括 Taboola Pixel 的所有版本小于等于 1.1.4。已发布安全补丁,建议尽快升级至 1.1.5 版本。
该 XSS 漏洞允许攻击者在受影响的 Taboola Pixel 集成网站上执行任意 JavaScript 代码。攻击者可以通过各种方式注入恶意脚本,例如通过 URL 参数、表单输入或其他用户可控制的输入点。一旦脚本成功注入,攻击者可以窃取用户的 Cookie、会话令牌和其他敏感信息。此外,攻击者还可以利用该漏洞将用户重定向至恶意网站,执行恶意操作,或篡改网站内容。由于 Taboola Pixel 广泛应用于各种网站,该漏洞的潜在影响范围非常广泛,可能影响大量用户。
该漏洞已于 2026 年 3 月 25 日公开披露。目前尚未观察到大规模的利用活动,但由于 XSS 漏洞的普遍性,存在被利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。
Websites utilizing the Taboola Pixel component, particularly those with user-supplied input that is not properly sanitized before being used within the Taboola Pixel, are at risk. Shared hosting environments where multiple websites share the same Taboola Pixel installation are also potentially vulnerable, as a compromise on one site could impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/taboola-pixel/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep taboola-pixeldisclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CVSS 向量
最有效的缓解措施是立即将 Taboola Pixel 升级至 1.1.5 或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下临时缓解措施:首先,审查 Taboola Pixel 的所有输入点,确保所有输入都经过适当的验证和清理,以防止恶意脚本注入。其次,实施严格的输入验证规则,限制允许的字符和数据类型。第三,使用内容安全策略 (CSP) 来限制浏览器可以加载的脚本来源,从而降低 XSS 攻击的风险。最后,监控网站的访问日志和错误日志,以检测可疑的活动,并及时采取措施。
更新到 1.1.5 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32545 是 Taboola Pixel 在版本小于等于 1.1.4 时存在的跨站脚本攻击 (XSS) 漏洞,允许攻击者注入恶意脚本。
如果您正在使用 Taboola Pixel 的版本小于等于 1.1.4,则您可能受到此漏洞的影响。请立即检查您的版本并升级。
升级到 Taboola Pixel 1.1.5 或更高版本是修复此漏洞的最佳方法。
目前尚未观察到大规模的利用活动,但存在被利用的风险。
请访问 Taboola 的官方安全公告页面以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。