Vulnerabilidade XSS Crítica no AddFunc Head Footer//Publicado em 2026-04-10//CVE-2026-2305

EQUIPE DE SEGURANÇA WP-FIREWALL

AddFunc Head & Footer Code Vulnerability CVE-2026-2305

Nome do plugin Código de Cabeçalho e Rodapé do AddFunc
Tipo de vulnerabilidade Script entre sites (XSS)
Número CVE CVE-2026-2305
Urgência Baixo
Data de publicação do CVE 2026-04-10
URL de origem CVE-2026-2305

Plugin de Código de Cabeçalho e Rodapé do AddFunc XSS (CVE-2026-2305): O que os Proprietários de Sites WordPress Precisam Saber — e Como o WP­Firewall Protege Você

Data: 10 de Abril de 2026
Severidade (listagem do Patchstack): Baixa (CVSS 6.5)
Versões afetadas: <= 2.3
Corrigido em: 2.4
Privilégio necessário: Contribuidor (autenticado)

Uma divulgação recente (CVE-2026-2305) descreve uma vulnerabilidade de script cross-site armazenado (XSS) autenticada no plugin Código de Cabeçalho e Rodapé do AddFunc para WordPress (versões até 2.3). Essa vulnerabilidade permite que um usuário com acesso de nível Contribuidor injete cargas úteis semelhantes a scripts através de campos personalizados que podem ser renderizados sem sanitização posteriormente — produzindo XSS armazenado em páginas ou telas de administração onde esses campos são exibidos.

Como a equipe por trás do WP­Firewall (um provedor de segurança WordPress e WAF gerenciado), quero lhe dar uma análise legível e prática do risco, cenários de ataque realistas, etapas de detecção e limpeza, e as proteções em camadas que você deve aplicar imediatamente. Também explicarei como nossas capacidades de firewall o protegem (incluindo correção virtual e assinaturas WAF), e fornecer orientações concretas e seguras de código e configuração para desenvolvedores e administradores de sites.

Isso é escrito da perspectiva de um profissional de segurança WordPress — prático, sem rodeios, com etapas reproduzíveis que você pode usar hoje.

Resumo executivo — o que aconteceu e por que isso é importante

  • O plugin Código de Cabeçalho e Rodapé do AddFunc (versões <= 2.3) permitiu que o conteúdo fornecido pelo usuário a partir de campos personalizados de postagens fosse incluído na saída sem sanitização/escapamento suficiente.
  • Um usuário autenticado com privilégios de Contribuidor (capaz de adicionar ou editar postagens e campos personalizados) poderia salvar uma carga útil que contém tags de script ou manipuladores de eventos.
  • Quando esse conteúdo é renderizado posteriormente na interface do usuário ou dentro de uma página de administração sem o escapamento adequado, o script armazenado é executado no navegador do visitante ou do administrador.
  • O impacto depende de onde o campo é renderizado:
    • Se a carga útil é executada na interface do usuário (páginas públicas), os visitantes do site podem ser afetados (redirecionamentos maliciosos, formulários falsos, mineradores de criptomoedas, injeção de conteúdo).
    • Se a carga útil é executada dentro de páginas de administração (por exemplo, quando um editor ou administrador abre a postagem no painel), usuários com privilégios mais altos podem ser alvo, levando à tomada do site: sequestro de conta, instalação de plugins/temas, alterações de configurações ou instalação de backdoors.
  • O plugin foi corrigido na versão 2.4. A ação correta imediata para sites afetados é atualizar para 2.4 ou posterior.

Por que um Contribuidor pode ser perigoso — modelo de ameaça do mundo real

Muitos proprietários de sites pensam que usuários de nível Contribuidor são de baixo risco porque não podem publicar conteúdo. Embora essa seja uma concepção válida para gerenciamento de conteúdo, os contribuintes ainda podem tipicamente criar postagens, editar seus próprios rascunhos e adicionar campos personalizados (dependendo da configuração do site). O XSS armazenado via campos personalizados é particularmente perigoso porque:

  • O conteúdo malicioso é persistente — ele é armazenado no banco de dados e será acionado sempre que for renderizado.
  • Se o site ou tema imprime campos personalizados nas páginas de administração (pré-visualizações de postagens, caixas meta) ou páginas do front-end sem escapar, scripts são executados com os privilégios do usuário visualizando em seu navegador.
  • Os atacantes podem criar cargas úteis que realizam ações em nome de um administrador (alterar senhas, criar contas de administrador, instalar plugins) aproveitando a sessão autenticada do administrador e solicitações forjadas (CSRF combinado com XSS).

Em resumo: contribuições de usuários em quem você confiou para conteúdo podem ser aproveitadas para comprometer o site se a sanitização/escapamento estiver ausente.

Fluxo típico de exploração (alto nível, não acionável)

  1. O atacante registra ou usa uma conta com privilégios de Contribuidor (ou compromete uma).
  2. O atacante edita um rascunho ou cria uma postagem e adiciona conteúdo malicioso em um campo personalizado (por exemplo, <script>…</script> ou cargas úteis baseadas em atributos como onerror=… dentro de uma tag permitida).
  3. O site armazena esse conteúdo em postmeta.
  4. Quando a postagem é carregada em um contexto onde o plugin ou tema exibe esse campo personalizado sem sanitização (página do front-end, pré-visualização do administrador ou caixa meta), o navegador executa o código injetado.
  5. Se um administrador visualizar a página ou postagem afetada na interface de administração (ou se visitantes forem alvo), o script injetado pode:
    • Roubar cookies de administrador (se não forem HttpOnly — embora as melhores práticas modernas reduzam o roubo de cookies, mas nem todos os sites seguem isso),
    • Usar privilégios de administrador para criar uma nova conta de administrador via REST API / endpoints de administração,
    • Modificar arquivos ou configurações de plugins/temas,
    • Instalar um backdoor ou persistir mais malware,
    • Exfiltrar dados.

Porque a exploração muitas vezes requer que um administrador interaja (visualize a postagem na administração ou clique em um link de pré-visualização específico), a Patchstack lista “Interação do Usuário Necessária”, mas essa interação pode ser tão simples quanto abrir o editor de postagens ou um link de pré-visualização elaborado.

Passos práticos para proteger seu site — ações imediatas (lista de verificação)

  1. Atualize o plugin
    – Se você estiver usando o AddFunc Head & Footer Code, atualize para a versão 2.4 ou posterior imediatamente. Esta é a remediação canônica.
  2. Se você não puder atualizar imediatamente
    – Remova ou desative o plugin temporariamente.
    – Bloqueie contas de colaboradores de editar ou adicionar campos personalizados até que o plugin seja atualizado.
    – Aplique correção virtual no nível do WAF (veja as orientações do WAF abaixo).
  3. Escaneie em busca de conteúdo malicioso em campos personalizados
    – Use WP­CLI ou consultas diretas ao DB para encontrar valores meta contendo <script, onerror=, javascript:, ou HTML suspeito.
        – Exemplo (faça backup do seu DB primeiro):
           wp db query "SELECT post_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%<script%';"
        – Também procure por onerror=, onload=, javascript: padrões.
    – Revise as entradas e remova ou sane valores meta suspeitos.
  4. Auditar contas de usuário
    – Verifique todos os Colaboradores e Editores: eles são legítimos? Remova contas obsoletas ou suspeitas.
    – Imponha senhas fortes e 2FA para funções privilegiadas (Editor, Administrador).
  5. Verifique sinais de comprometimento
    – Procure por contas de administrador desconhecidas, arquivos de plugin/tema inesperados, arquivos recentemente modificados, tarefas agendadas e conexões de saída do servidor.
    – Execute uma verificação de malware (scanner do WP­Firewall ou outro scanner respeitável).
  6. Rode as credenciais e chaves de API se houver suspeita de comprometimento
    – Altere senhas de administrador e quaisquer chaves de API expostas.
    – Invalide sessões se necessário (force logout para todos os usuários).
  7. Faça backup antes da limpeza
    – Faça um backup completo do site (arquivos e DB) antes da remediação. Isso preserva evidências e fornece um ponto de reversão.
  8. Reforce os campos personalizados daqui para frente
    – Exija saneamento ao salvar e escaping na saída — veja as recomendações de código abaixo.

1. Como encontrar entradas XSS armazenadas maliciosas com segurança

2. Procurar por conteúdo suspeito no banco de dados é crucial, mas deve ser feito com cautela:

  • 3. Sempre crie um backup antes de executar consultas ou fazer alterações.
  • 4. Comece com consultas somente leitura para identificar entradas suspeitas, depois revise-as manualmente.
  • 5. Exemplos de consultas de detecção WP­CLI:
6. # Encontre postmeta que contém <script"

wp db query "SELECT meta_id, post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%<script%';".

# Pesquise por manipuladores de eventos inline

wp db query "SELECT meta_id, post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%onerror=%' OR meta_value LIKE '%onload=%';"

  • 7. Exporte valores meta suspeitos e inspecione-os, depois decida sanitizar ou remover. 4. 8. Limpando entradas suspeitas.
  • 9. Se você identificar valores meta maliciosos:
10. Se a entrada for obviamente maliciosa (blocos completos), remova a linha meta.

11. Se a entrada contiver dados úteis, mas também tags injetadas, sanitizar o conteúdo:.

12. <?php

// Exemplo: sanitizar um valor de campo personalizado salvo

  1. $clean = wp_kses(
  2. $raw_meta_value,

array( // permitir apenas um conjunto restrito de tags/atributos

  • 'a' => array( 'href' => true, 'title' => true, 'rel' => true ),
<?php
  • Na saída, sempre escape com base no contexto:
<?php
  • Padrão melhor: registrar meta com um callback de sanitização (funciona bem com REST):
<?php
  • Sempre verifique a capacidade antes de salvar ou renderizar meta apenas para admin. Use nonces para formulários de admin.

WAF e patching virtual — proteção imediata em nível de rede

Quando uma vulnerabilidade de plugin existe e a atualização imediata não é possível, um Firewall de Aplicação Web (WAF) bem configurado fornece patching virtual. Patching virtual significa interceptar solicitações maliciosas e bloqueá-las antes que cheguem ao caminho de código vulnerável.

Mitigações típicas de WAF para este tipo de XSS armazenado incluem:

  • Bloquear solicitações POST que incluem cargas de script suspeitas em nomes de campos meta conhecidos (por exemplo, conteúdos de postmeta, _personalizado_*).
  • Bloquear ou sanitizar solicitações que contenham 4. tags, atributos de manipulador de eventos (onerror=, onload=), javascript: URIs, conteúdo de script codificado em base64, ou padrões óbvios de ofuscação.
  • Limitar a taxa de POSTs que criam ou atualizam posts de usuários com privilégios baixos.
  • Bloquear assinaturas de exploração conhecidas e codificações de carga.

Exemplo de pseudo-regra (para um mecanismo WAF genérico) — apenas conceitual:

Pseudocódigo da regra WAF: bloquear tags de script em campos postmeta'

Se você executar um WAF baseado em host ou WAF em nuvem, configure uma regra que inspecione o corpo da solicitação em busca desses padrões e os bloqueie para usuários com privilégios de Contribuidor/Autor. Isso fornece uma mitigação imediata enquanto você atualiza.

No WP­Firewall, fornecemos regras de patching virtual direcionadas que detectam e bloqueiam padrões usados em tentativas de XSS armazenado, combinadas com monitoramento e notificação quando uma tentativa bloqueada ocorreu.

Exemplos de regras WAF — estilo ModSecurity (exemplo, ajuste para o seu ambiente)

Abaixo estão padrões de exemplo para usar como ponto de partida. Estes são ilustrativos — teste cuidadosamente para evitar falsos positivos:

Exemplo de regra ModSecurity para detectar tags  no corpo do POST"

Exemplo de regra para detectar atributos de evento como onerror= ou onload="

Importante: sempre teste as regras em um ambiente de staging para identificar casos extremos legítimos (algum conteúdo legítimo pode incluir HTML permitido) e ajuste as regras de acordo.

Detecção — logs e indicadores de exploração

Se você suspeitar que a exploração ocorreu:

  • Verifique os logs de acesso do servidor para POSTs que criam ou modificam posts (POSTs para /wp-admin/post.php, /wp-json/wp/v2/posts).
  • Verifique os logs da aplicação (se você os tiver) para parâmetros POST suspeitos.
  • Procure por alertas do seu scanner de malware mostrando arquivos de plugin/tema modificados, arquivos desconhecidos ou webshells.
  • Verifique a lista de usuários administradores para contas de administrador recém-criadas.
  • Procure por conexões de saída do seu servidor para hosts desconhecidos.
  • Revise trabalhos cron recentes e tarefas agendadas para execuções de PHP desconhecidas.

Se você encontrar conteúdo injetado em postmeta, trate-o como uma possível violação: realize uma resposta completa ao incidente (quarentena, instantâneo forense, restaure de um backup limpo se necessário).

Após uma infecção — remediação e fortalecimento

Se você encontrar evidências de que o site foi comprometido:

  1. Isolar o site (tire-o do ar ou bloqueie o acesso de entrada) enquanto investiga.
  2. Preserve as evidências.: faça um instantâneo completo, preserve logs (servidor web, banco de dados).
  3. Identifique mecanismos de persistência: verifique se há usuários administradores adicionados, wp-config.php modificado, arquivos principais substituídos, plugins/temas maliciosos, tarefas cron, eventos agendados.
  4. Limpar: remova arquivos maliciosos e entradas de banco de dados. Se não tiver certeza, restaure a partir de um backup limpo.
  5. Alterar credenciais: redefina todas as senhas, revogue chaves de API, gire chaves SSH.
  6. Corrigir: atualize o núcleo do WordPress, plugins e temas para as versões mais recentes.
  7. Reforçar: restrinja permissões de arquivos, desative a edição de arquivos via wp-config.php (define('DISALLOW_FILE_EDIT', true)), aplique 2FA para todos os administradores, revise o menor privilégio para todas as contas.
  8. Monitore: ative monitoramento de segurança, monitoramento de integridade de arquivos e alertas para eventos críticos.

Controles de longo prazo — reduza o risco de uso indevido de funções e HTML não confiável

  • Minimize o número de contas que podem editar conteúdo; aplique o menor privilégio.
  • Exija fluxos de aprovação para conteúdo enviado por usuários sempre que possível (revise antes de publicar).
  • Restringa quais funções podem adicionar campos personalizados ou usar plugins que expõem a renderização de campos personalizados.
  • Eduque os colaboradores sobre os riscos de incorporar HTML em campos.
  • Use cabeçalhos de Política de Segurança de Conteúdo (CSP) para limitar o impacto de scripts injetados (isso pode reduzir o alcance de alguns ataques XSS).
  • Para sites com muitos colaboradores, ative uma separação de funções mais forte e considere plugins de fluxo de moderação.

Como WAF confiável + segurança gerenciada reduz o tempo de remediação

Um WAF gerenciado e serviço de segurança fornece:

  • Correção virtual rápida: bloqueie tentativas de exploração imediatamente sem precisar modificar o código do aplicativo.
  • Atualizações de assinatura à medida que a pesquisa é publicada para que as regras capturem cargas úteis emergentes.
  • Ferramentas de varredura e remoção de malware para encontrar e remediar conteúdo injetado.
  • Monitoramento e alertas para que você não precise ficar assistindo aos logs 24/7.
  • Orientação durante a resposta a incidentes e assistência de reversão quando necessário.

O WP­Firewall combina essas capacidades com lógica especializada para WordPress (padrões de solicitação, endpoints REST, endpoints de administração) para que possamos detectar e mitigar ataques que visam vetores comuns do WordPress, como XSS armazenado em meta.

Notas práticas de ajuste do WAF (reduzir falsos positivos)

  • Excluir IPs de administradores confiáveis do bloqueio agressivo pode prevenir interrupções no fluxo de trabalho do administrador — mas equilibre isso com o risco de segurança.
  • Use regras que correspondam a nomes de parâmetros comumente usados para campos meta (meta[], postmeta, acf, campos personalizados) em vez de bloquear todos 4. as tags globalmente.
  • Registre solicitações suspeitas, mas não claramente maliciosas (modo apenas de alerta) por um período antes de bloquear — isso ajuda a ajustar assinaturas aos padrões de uso do seu site.

Exemplo de manual de resposta a incidentes (conciso)

  1. Atualize o plugin para 2.4 (se possível).
  2. Se a atualização imediata for impossível: ative a(s) regra(s) de patch virtual que inspecionam os corpos POST em busca de scripts e atributos de evento que visam parâmetros postmeta.
  3. Execute uma consulta no DB para encontrar valores meta suspeitos; exporte os resultados para revisão.
  4. Remova entradas confirmadas como maliciosas e saneie as ambíguas.
  5. Redefina senhas para todos os administradores; imponha 2FA.
  6. Escaneie o sistema de arquivos em busca de arquivos modificados e arquivos PHP desconhecidos.
  7. Restaure de um backup limpo se a remediação for incerta.
  8. Monitore os logs para tentativas repetidas; bloqueie IPs ofensivos.

Recomendações amigáveis para desenvolvedores para eliminar essa classe de bug

  • Sempre saneie ao salvar e escape na saída.
  • Use APIs do WordPress: register_post_meta com callbacks de saneamento, sanitize_text_field, wp_kses_post, esc_html, esc_attr.
  • Use nonces e verificações de capacidade para quaisquer operações de salvamento do lado do administrador.
  • Evite armazenar HTML bruto, a menos que absolutamente necessário; se o fizer, restrinja as tags e atributos permitidos com wp_kses.
  • Faça da segurança parte do pipeline CI/CD: análise estática, verificações de dependência e revisões de segurança antes dos lançamentos de plugins/temas.

Como verificar se seu site não é mais vulnerável

  1. Certifique-se de que o código do AddFunc Head & Footer está atualizado para 2.4 ou posterior.
  2. Verifique se não há entradas de postmeta com 4. ou atributos de evento que possam ser executados.
  3. Confirme que as páginas front-end e admin do site escapam a saída de campos personalizados.
  4. Verifique os logs do seu WAF para tentativas bloqueadas e certifique-se de que você tem registro/alerta ativado.
  5. Execute uma verificação completa de malware e verifique a integridade dos arquivos.

Comece com a Proteção Gratuita do WP­Firewall

Proteger seu site WordPress não deve ser complicado. Se você deseja proteção básica imediata enquanto revisa atualizações de plugins e limpa qualquer conteúdo suspeito, considere se inscrever no plano Básico gratuito do WP­Firewall. O plano gratuito inclui um firewall gerenciado ativamente, largura de banda ilimitada, um WAF, um scanner de malware e cobertura de mitigação para os riscos do OWASP Top 10 — o suficiente para bloquear muitas tentativas comuns de exploração e dar à sua equipe espaço para aplicar correções com segurança. Experimente o WP­Firewall Basic gratuitamente aqui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se você deseja remoção automática de malware e controle mais avançado, como listas negras de IP, nossos planos pagos adicionam esses recursos a um custo anual modesto.)

Recomendações finais — lista de ações prioritárias (curta)

  1. Atualize o código do AddFunc Head & Footer para 2.4+ agora.
  2. Se você não puder atualizar imediatamente, bloqueie ou desative o plugin e aplique regras de patch virtual do WAF.
  3. Escaneie e remova entradas de campo personalizado maliciosas.
  4. Audite os usuários e imponha senha/2FA para contas privilegiadas.
  5. Reforce a sanitização no tempo de salvamento e a escapada no tempo de saída para campos personalizados.
  6. Use o WP­Firewall ou um WAF gerenciado para obter proteção e monitoramento imediatos.

Considerações finais

Esta vulnerabilidade é um lembrete de que até mesmo funções de baixo privilégio e pequenos plugins podem apresentar riscos desproporcionais se os dados forem armazenados e posteriormente renderizados sem a devida sanitização e escapada. O WordPress é flexível, que é sua maior força — e também sua fonte mais frequente de risco quando o código assume confiança onde não deveria.

Aplique a atualização, escaneie e remova valores meta suspeitos e coloque um WAF na frente do seu site — não como um substituto permanente para código seguro, mas como um controle compensatório essencial que lhe dá tempo enquanto você corrige a causa raiz. Se você precisar de ajuda para implementar regras de WAF, patch virtual ou uma limpeza pós-incidente, a equipe do WP­Firewall se especializa em mitigação rápida e consciente do WordPress.

Se você gostaria de uma auditoria passo a passo ou assistência, entre em contato com seu provedor de segurança ou aproveite o plano gratuito do WP­Firewall para obter proteção básica imediata enquanto você corrige.

Mantenha-se seguro e trate campos personalizados como entrada não confiável — sane, escape e revise.

— Equipe de Segurança WP-Firewall

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™