Plataforma
wordpress
Componente
surveyjs
Corregido en
1.10.0
2.5.4
2.5.4
CVE-2026-2440 es una vulnerabilidad de Cross-Site Scripting (XSS) almacenado presente en el plugin SurveyJS Drag & Drop Form Builder para WordPress, afectando a versiones hasta la 2.5.3. Un atacante puede inyectar código JavaScript malicioso a través de la presentación de resultados de encuestas, que luego se ejecuta en el contexto del administrador al visualizar estos resultados. La vulnerabilidad se debe a una sanitización y escape insuficientes de la entrada del usuario.
La explotación exitosa de esta vulnerabilidad permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios de administrador de WordPress. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido del sitio web o incluso el acceso completo al panel de administración de WordPress. Dado que la inyección se realiza a través de los resultados de la encuesta, un atacante podría manipular los datos de la encuesta para incluir el código malicioso, lo que podría afectar a un gran número de usuarios y comprometer la integridad de los datos recopilados.
Este CVE fue publicado el 2026-03-20. No se ha reportado explotación activa a la fecha, pero la naturaleza de XSS almacenado implica un riesgo continuo. La vulnerabilidad se encuentra en un plugin de WordPress, lo que aumenta su exposición potencial. No se ha añadido a la lista KEV de CISA ni se ha identificado un EPSS score.
WordPress websites utilizing the SurveyJS Drag & Drop Form Builder plugin, particularly those with multiple administrators or those handling sensitive survey data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if they have not applied the necessary patch.
• wordpress / composer / npm:
grep -r 'surveyResult.html' /var/www/html/wp-content/plugins/surveyjs• generic web:
curl -I https://your-wordpress-site.com/survey/result?id=1 | grep Content-Type• wordpress / composer / npm:
wp plugin list --status=active | grep surveyjsdisclosure
Estado del Exploit
EPSS
0.07% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-2440 es actualizar el plugin SurveyJS Drag & Drop Form Builder a una versión corregida (posterior a la 2.5.3). Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario en el lado del servidor y el escape adecuado de la salida. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de inyección de scripts. Verifique que la configuración de WordPress tenga habilitada la protección contra XSS y que se utilicen plugins de seguridad confiables.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2440 is a Stored Cross-Site Scripting (XSS) vulnerability in the SurveyJS plugin for WordPress versions up to 2.5.3, allowing attackers to inject malicious code via survey submissions.
If you are using SurveyJS Drag & Drop Form Builder version 2.5.3 or earlier on your WordPress site, you are potentially affected by this vulnerability.
Upgrade the SurveyJS plugin for WordPress to a version greater than 2.5.3. Consider implementing input validation and WAF rules as temporary mitigations.
While no confirmed active exploitation has been reported, the vulnerability's ease of exploitation makes it a potential target.
Refer to the SurveyJS security advisories on their official website for the latest information and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.