Plataforma
wordpress
Componente
cardealer
Corregido en
1.6.8
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el plugin Car Dealer de ThemeMakers. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.6.7, y se recomienda actualizar a la versión 1.6.8 para solucionar el problema.
La vulnerabilidad XSS reflejado en Car Dealer permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Un atacante podría explotar esta vulnerabilidad mediante la inyección de código malicioso a través de parámetros de URL o campos de entrada en la aplicación. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad y confidencialidad de los datos del usuario y del sitio web.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se han reportado casos de explotación activa en el mundo real a la fecha. No se encuentra listada en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario para que la vulnerabilidad sea activada.
Websites utilizing the ThemeMakers Car Dealer plugin, particularly those with user input fields that are not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/cardealer/*• generic web:
curl -I https://example.com/vulnerable-page?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep cardealer• wordpress / composer / npm:
wp plugin update cardealerdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Car Dealer a la versión 1.6.8 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Verifique que la configuración del plugin no permita la ejecución de código arbitrario en el frontend.
Actualizar a la versión 1.6.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24391 is a Reflected XSS vulnerability in the ThemeMakers Car Dealer WordPress plugin, allowing attackers to inject malicious scripts into web pages.
You are affected if you are using ThemeMakers Car Dealer versions 0.0.0 through 1.6.7. Upgrade to 1.6.8 to mitigate the risk.
Upgrade the ThemeMakers Car Dealer plugin to version 1.6.8 or later. Consider WAF rules as a temporary workaround.
No active exploitation has been confirmed as of this writing, but the High severity score suggests potential for future attacks.
Refer to the ThemeMakers website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.