Plataforma
wordpress
Componente
legacy-admin
Corregido en
9.5.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el componente Legacy Admin de ThemePassion. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web, que se ejecutarán en el navegador de los usuarios que visiten dichas páginas. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 9.5 inclusive. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación.
La vulnerabilidad XSS reflejado en Legacy Admin permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible. Un atacante podría explotar esta vulnerabilidad mediante la inyección de código malicioso en parámetros de URL o en campos de entrada de formularios. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad de la aplicación y los datos del usuario.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado su explotación activa en campañas conocidas. La presencia de una vulnerabilidad XSS reflejada siempre implica un riesgo, especialmente si la aplicación Legacy Admin se utiliza para gestionar información sensible o autenticar usuarios. Se recomienda monitorear activamente los registros del servidor en busca de patrones de ataque XSS.
Administrators and users of websites utilizing ThemePassion Legacy Admin are at risk. Specifically, those using older, unpatched versions (0.0.0 through 9.5) are highly vulnerable. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'Legacy Admin' /var/www/html/wp-content/plugins/
wp plugin list | grep Legacy Admin• generic web:
curl -I 'https://your-website.com/admin/index.php?param=<script>alert(1)</script>' | grep Content-Typedisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Legacy Admin a la última versión disponible, que incluye la corrección de seguridad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript malicioso. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuros ataques XSS.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22524 is a Reflected XSS vulnerability affecting ThemePassion Legacy Admin versions 0.0.0 through 9.5, allowing attackers to inject malicious scripts via crafted URLs.
If you are using ThemePassion Legacy Admin version 0.0.0 through 9.5, you are potentially affected. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of ThemePassion Legacy Admin. Check the vendor's website for the latest version.
While no active exploitation has been confirmed, the ease of exploitation suggests potential for future attacks. Monitor security advisories and logs.
Refer to the ThemePassion website and WordPress plugin repository for official advisories and updates related to CVE-2026-22524.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.