Plataforma
wordpress
Componente
wptelegram-widget
Corregido en
2.2.14
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WP Telegram Widget and Join Link para WordPress. Esta vulnerabilidad, catalogada como CVE-2026-23807, permite a un atacante inyectar scripts maliciosos a través de la generación de páginas web. Afecta a las versiones desde 0.0.0 hasta la 2.2.13, y se recomienda actualizar a la versión 2.2.14 para solucionar el problema.
La vulnerabilidad XSS en WP Telegram Widget and Join Link permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Un atacante podría explotar esta vulnerabilidad para comprometer la cuenta de un administrador o para lanzar ataques de phishing dirigidos a los usuarios del sitio web. La severidad de este tipo de vulnerabilidades radica en su capacidad para comprometer la seguridad de la aplicación y la información del usuario.
El CVE-2026-23807 fue publicado el 25 de marzo de 2026. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza de las vulnerabilidades XSS las hace susceptibles a ataques oportunistas. Es importante monitorear el sitio web en busca de actividad sospechosa y aplicar las medidas de mitigación recomendadas lo antes posible. No se ha añadido a KEV a la fecha.
Websites using the WP Telegram Widget and Join Link plugin, particularly those with user-generated content or public-facing forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r "wptelegram-widget" /var/www/html/wp-content/plugins/
wp plugin list | grep wptelegram-widget• generic web:
curl -I https://example.com/?url=XSS_PAYLOAD | grep Content-Typedisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-23807 es actualizar el plugin WP Telegram Widget and Join Link a la versión 2.2.14 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida adicional, se recomienda implementar una Web Application Firewall (WAF) que pueda filtrar solicitudes maliciosas que contengan código JavaScript sospechoso. También es importante revisar y fortalecer las políticas de seguridad del sitio web, incluyendo la validación y sanitización de todas las entradas de usuario.
Actualizar a la versión 2.2.14, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23807 is a Reflected XSS vulnerability in the WP Telegram Widget and Join Link plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using WP Telegram Widget and Join Link versions 0.0.0 through 2.2.13. Upgrade to 2.2.14 or later to mitigate the risk.
Upgrade the WP Telegram Widget and Join Link plugin to version 2.2.14 or later. Consider input validation and WAF rules as additional protections.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation increases the risk of attacks.
Refer to the plugin developer's website or WordPress.org plugin repository for the latest information and updates regarding CVE-2026-23807.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.