Accessibly <= 3.0.3 - Falta de Autorización para Cross-Site Scripting Almacenado No Autenticado a través de Inyección de Fuente de Widget vía API REST
Plataforma
wordpress
Componente
otm-accessibly
Corregido en
3.0.4
3.0.4
La vulnerabilidad CVE-2026-3643 es una falla de Cross-Site Scripting (XSS) almacenada que afecta al plugin Accessibly para WordPress. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través de la API REST, comprometiendo la seguridad del sitio web. Afecta a todas las versiones del plugin hasta la 3.0.3 inclusive. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en las páginas web gestionadas por WordPress. Este código puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. La falta de autenticación en los endpoints de la API REST /otm-ac/v1/update-widget-options y /otm-ac/v1/update-app-config facilita la explotación, ya que cualquier usuario puede enviar datos maliciosos sin necesidad de credenciales. La persistencia de los datos en la tabla de opciones de WordPress amplifica el impacto, ya que el script malicioso puede afectar a todos los usuarios que visiten la página web.
Contexto de Explotación
Esta vulnerabilidad fue publicada el 14 de abril de 2026. No se ha reportado explotación activa a la fecha. No se encuentra listada en el KEV de CISA. La falta de autenticación en los endpoints de la API REST es un patrón común en vulnerabilidades XSS y facilita la explotación, similar a otras vulnerabilidades encontradas en plugins de WordPress.
Quién Está en Riesgotraduciendo…
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
Pasos de Deteccióntraduciendo…
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --allCronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Información del paquete
- Instalaciones activas
- 400
- Valoración del plugin
- 4.5
- Requiere WordPress
- 5.5+
- Compatible hasta
- 6.7.5
- Requiere PHP
- 7.0+
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar el plugin Accessibly a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes a los endpoints vulnerables /otm-ac/v1/update-widget-options y /otm-ac/v1/update-app-config. Además, se debe revisar y endurecer la configuración del plugin, limitando el acceso a las opciones de configuración y validando la entrada de datos. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de explotación.
Cómo corregirlo
No se dispone de un parche conocido. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones en función del nivel de tolerancia al riesgo de su organización. Es posible que sea mejor desinstalar el software afectado y buscar un reemplazo.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-3643 — XSS in Accessibly WordPress Plugin?
CVE-2026-3643 is a stored Cross-Site Scripting (XSS) vulnerability in the Accessibly WordPress plugin, allowing attackers to inject malicious scripts via unprotected REST API endpoints.
Am I affected by CVE-2026-3643 in Accessibly WordPress Plugin?
You are affected if you are using the Accessibly plugin in versions 3.0.3 or earlier. Check your plugin version and upgrade immediately.
How do I fix CVE-2026-3643 in Accessibly WordPress Plugin?
Upgrade the Accessibly plugin to a version higher than 3.0.3. As a temporary measure, disable the plugin or restrict access to the vulnerable REST API endpoints.
Is CVE-2026-3643 being actively exploited?
While no public exploits have been released, the lack of authentication makes it a likely target for exploitation.
Where can I find the official Accessibly advisory for CVE-2026-3643?
Refer to the Accessibly plugin's official website or WordPress plugin repository for the latest security advisories and updates.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.