Plataforma
wordpress
Componente
td-composer
Corregido en
5.4.3
La vulnerabilidad CVE-2025-50001 es una falla de Inyección de Scripts entre Sitios (XSS) reflejada en tagDiv Composer, un plugin para WordPress. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en las páginas web generadas por el plugin, comprometiendo potencialmente la seguridad de los usuarios. Afecta a las versiones desde 0.0.0 hasta la 5.4.2, y se recomienda actualizar a la versión 5.4.3 para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts maliciosos en el navegador de un usuario que visite una página web afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. La severidad de este impacto depende del contexto de la aplicación web y de los privilegios del usuario afectado. En un escenario de ataque exitoso, un atacante podría obtener control sobre la cuenta de usuario y acceder a datos sensibles almacenados en la base de datos de WordPress.
La vulnerabilidad CVE-2025-50001 fue publicada el 2026-03-19. Actualmente no se dispone de información sobre campañas de explotación activas o la inclusión en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La existencia de un PoC público podría facilitar la explotación por parte de atacantes.
Websites utilizing tagDiv Composer for page building, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'tagDiv Composer' /var/www/html/wp-content/plugins/
wp plugin list | grep tagDiv Composer• generic web:
curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep -i content-typedisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar tagDiv Composer a la versión 5.4.3 o superior, que incluye la corrección de seguridad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario y la codificación de la salida para prevenir la ejecución de scripts maliciosos. Además, se pueden configurar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Verifique que la actualización se haya realizado correctamente revisando la versión del plugin en el panel de administración de WordPress.
Actualizar a la versión 5.4.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-50001 is a Reflected XSS vulnerability in tagDiv Composer allowing attackers to inject malicious scripts via crafted URLs, potentially stealing user data or hijacking sessions.
You are affected if you are using tagDiv Composer versions 0.0.0 through 5.4.2. Upgrade to 5.4.3 to mitigate the risk.
Upgrade tagDiv Composer to version 5.4.3 or later. Implement input validation and output encoding as a temporary workaround.
As of the current disclosure date, there are no known public exploits or active campaigns targeting this vulnerability, but the HIGH severity warrants immediate action.
Refer to the tagDiv Composer website and security advisories for the official announcement and detailed information regarding CVE-2025-50001.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.