Publicações

CVE-2024-6288: XSS refletido no Conversios WooCommerce Tracking

Um problema de cross-site scripting refletido no plugin de tracking de WooCommerce Conversios.

CVE-2024-6288 é uma vulnerabilidade de cross-site scripting refletido no plugin Conversios para WordPress, usado em integrações de tracking e analytics para WooCommerce.

O aviso público descreve o input vulnerável como o parâmetro tiktok_user_id. As versões até 7.1.0 inclusive não sanitizavam suficientemente o input nem escapavam corretamente a saída para esse valor, permitindo que um atacante não autenticado injetasse script que seria executado se ele convencesse um usuário a abrir um link preparado.

Card de resumo do CVE-2024-6288 mostrando produto afetado, impacto e pontuação CVSS
CVE-2024-6288 afetava o Conversios até a versão 7.1.0 inclusive. Em junho de 2026, o WordPress.org lista o plugin com mais de 10.000 instalações ativas.

O bug

Esse era um padrão clássico de XSS refletido: um parâmetro da requisição chegava ao HTML gerado sem validação e escape suficientes.

O detalhe que tornou o caso digno de reporte foi onde ele aparecia. Plugins de analytics e publicidade costumam ficar próximos de fluxos de negócio valiosos: tracking de conversões, feeds de produtos, pixels de campanha e páginas de loja. Eles também tendem a ter muita superfície de configuração porque integram vários serviços externos ao mesmo tempo.

Por que importava

A pontuação CVSS foi 4.7, severidade média, com interação do usuário exigida. Essa é a forma esperada para um XSS refletido: o atacante precisa que uma vítima abra uma URL preparada.

Mesmo com essa limitação, XSS em um contexto WordPress ainda pode importar. Se o usuário errado abre o link enquanto está autenticado, o script roda dentro da origem do site. Isso pode expor dados da página próximos à sessão, realizar ações disponíveis para a vítima ou virar um passo dentro de uma cadeia de ataque maior.

Correção

O Conversios corrigiu o problema na versão 7.1.1. Donos de sites devem atualizar para 7.1.1 ou uma versão mais nova.

Referências