Plataforma
wordpress
Componente
td-subscription
Corregido en
1.7.4
La vulnerabilidad CVE-2025-53222 es una falla de Inyección de Script entre Sitios (XSS) reflejada en el plugin tagDiv Opt-In Builder. Esta vulnerabilidad permite a un atacante inyectar código malicioso en las páginas web generadas por el plugin, comprometiendo la seguridad de los usuarios. Afecta a las versiones desde 0.0.0 hasta la 1.7.3, y se recomienda actualizar a la versión 1.7.4 para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts maliciosos en el navegador de un usuario que visita una página web afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. La inyección de scripts puede comprometer la confidencialidad, integridad y disponibilidad de la información sensible, incluyendo datos personales de los usuarios. La explotación exitosa podría permitir al atacante obtener control sobre la cuenta del usuario o incluso comprometer el servidor web si se ejecutan scripts con privilegios elevados.
Esta vulnerabilidad fue publicada el 2026-03-19. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear los registros del servidor web en busca de patrones sospechosos.
Websites using the tagDiv Opt-In Builder plugin, particularly those with user authentication or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a vulnerability in one site could potentially be exploited to compromise others.
• wordpress / composer / npm:
grep -r 'td-subscription' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep tagDiv• wordpress / composer / npm:
wp plugin update tagDiv• generic web: Inspect URL parameters for suspicious JavaScript code (e.g., <script>alert('XSS')</script>).
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin tagDiv Opt-In Builder a la versión 1.7.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar cualquier cambio. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar las solicitudes HTTP que contengan código malicioso. Además, revise y sanee cualquier entrada de usuario antes de mostrarla en la página web.
Actualizar a la versión 1.7.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53222 is a Reflected XSS vulnerability in the tagDiv Opt-In Builder WordPress plugin, allowing attackers to inject malicious scripts via crafted URLs.
If you are using tagDiv Opt-In Builder versions 0.0.0 through 1.7.3, you are affected by this vulnerability.
Upgrade the tagDiv Opt-In Builder plugin to version 1.7.4 or later to resolve this vulnerability.
There is currently no indication of active exploitation campaigns, but public PoCs may emerge.
Refer to the tagDiv website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.