CVE-2025-14767: XSS en WPC Badge Management para WooCommerce
Plataforma
wordpress
Componente
wpc-badge-management
Corregido en
3.1.7
La vulnerabilidad CVE-2025-14767 afecta al plugin WPC Badge Management para WooCommerce en WordPress. Se trata de una vulnerabilidad de Cross-Site Scripting (XSS) de tipo almacenado, permitiendo a atacantes autenticados inyectar código malicioso. Esta falla se encuentra presente en versiones desde 0.0.0 hasta la 3.1.6, y ha sido solucionada en la versión 3.1.7, publicada el 13 de mayo de 2026.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante con privilegios de Shop Manager o superiores puede explotar esta vulnerabilidad para inyectar scripts maliciosos en páginas del sitio web. Estos scripts se ejecutarán cada vez que un usuario acceda a la página comprometida, permitiendo al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página. El impacto potencial incluye la pérdida de datos sensibles, la manipulación de la experiencia del usuario y el compromiso de la integridad del sitio web. Aunque requiere autenticación, la facilidad de obtener privilegios de Shop Manager en algunos entornos aumenta el riesgo.
Contexto de Explotación
La vulnerabilidad CVE-2025-14767 ha sido publicada el 13 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas. La probabilidad de explotación se considera moderada, dado que requiere autenticación y un conocimiento específico del plugin. No se ha identificado en KEV ni tiene un EPSS score disponible al momento de la publicación. Consulte el aviso oficial de WordPress para obtener más información.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
Mitigación y Workarounds
La mitigación principal es actualizar el plugin WPC Badge Management para WooCommerce a la versión 3.1.7 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código potencialmente malicioso en el atributo 'text' del shortcode wpcbmbestseller. Además, revise los permisos de usuario para asegurar que solo los usuarios necesarios tengan acceso de Shop Manager. Después de la actualización, verifique que el atributo 'text' del shortcode wpcbmbestseller no permita la inyección de scripts.
Cómo corregirlo
Actualizar a la versión 3.1.7, o una versión parcheada más reciente
Preguntas frecuentes
What is CVE-2025-14767 — XSS en WPC Badge Management para WooCommerce?
CVE-2025-14767 es una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin WPC Badge Management para WooCommerce, permitiendo a atacantes autenticados inyectar scripts maliciosos en páginas del sitio web.
Am I affected by CVE-2025-14767 en WPC Badge Management para WooCommerce?
Si está utilizando el plugin WPC Badge Management para WooCommerce en versiones desde 0.0.0 hasta 3.1.6, es vulnerable a esta vulnerabilidad. Actualice a la versión 3.1.7 para eliminar el riesgo.
How do I fix CVE-2025-14767 en WPC Badge Management para WooCommerce?
La solución es actualizar el plugin WPC Badge Management para WooCommerce a la versión 3.1.7 o superior. Realice una copia de seguridad antes de actualizar y considere reglas WAF como medida temporal.
Is CVE-2025-14767 being actively exploited?
No se ha reportado su explotación activa en campañas conocidas al momento de la publicación, pero la probabilidad de explotación se considera moderada.
Where can I find the official WPC Badge Management advisory for CVE-2025-14767?
Consulte el aviso oficial de WordPress para obtener más información sobre esta vulnerabilidad y la solución proporcionada.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...