Plataforma
wordpress
Componente
table-of-contents-creator
Corregido en
1.6.5
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el plugin Table of Contents Creator de WordPress. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web generadas por el plugin, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a versiones desde n/a hasta 1.6.4.1, y se recomienda actualizar a la versión más reciente disponible para mitigar el riesgo.
La vulnerabilidad XSS reflejado permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control total de la cuenta del usuario. Un atacante podría explotar esta vulnerabilidad mediante la inyección de código malicioso en parámetros de URL o en campos de entrada de formularios, que luego se reflejan en la página web sin una validación adecuada. El impacto potencial es significativo, especialmente en sitios web con un alto tráfico o que manejan información sensible.
La vulnerabilidad CVE-2025-68836 fue publicada el 19 de marzo de 2026. Actualmente no se dispone de información sobre campañas de explotación activas o la existencia de pruebas de concepto (PoC) públicas. La severidad de la vulnerabilidad se ha clasificado como Alta (CVSS 7.1), lo que indica un riesgo significativo para los sitios web afectados.
Websites using the Table of Contents Creator plugin, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/table-of-contents-creator/• wordpress / composer / npm:
wp plugin list --status=all | grep "table-of-contents-creator"• wordpress / composer / npm:
wp plugin update table-of-contents-creatordisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Table of Contents Creator a la última versión disponible, que incluye la corrección de seguridad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de validación de entrada en el código del plugin para evitar la inyección de scripts maliciosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuros ataques.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68836 is a Reflected XSS vulnerability in the Table of Contents Creator WordPress plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Table of Contents Creator versions prior to 1.6.4.1. Upgrade immediately to mitigate the risk.
Upgrade the Table of Contents Creator plugin to version 1.6.4.1 or later. Consider input validation and WAF rules as additional protections.
There are currently no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.