Plataforma
wordpress
Componente
noo-citilights
Corregido en
3.7.2
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en el tema CitiLights para WordPress. Esta falla permite a un atacante inyectar código JavaScript malicioso en las páginas web, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 3.7.1, y se ha proporcionado una actualización a la versión 3.7.2 para solucionar el problema.
La vulnerabilidad XSS reflejada en CitiLights permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso la ejecución de acciones en nombre del usuario. Un atacante podría explotar esta vulnerabilidad mediante la inyección de un script malicioso a través de un parámetro de URL o un campo de entrada en la página web. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad de los datos del usuario.
La vulnerabilidad CVE-2026-24973 fue publicada el 25 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera moderada, dado que es una vulnerabilidad XSS reflejada y requiere interacción del usuario para ser explotada. No se ha añadido a la lista KEV de CISA.
Websites using the CitiLights WordPress theme, particularly those with user-generated content or forms that accept user input without proper sanitization, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially affected, as a compromise of one site could lead to the compromise of others.
• wordpress / composer / npm:
grep -r "noo-citilights" /var/www/html/wp-content/themes/• wordpress / composer / npm:
wp plugin list | grep citilights• wordpress / composer / npm:
curl -I <vulnerable_url_with_payload> | grep -i content-security-policydisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el tema CitiLights a la versión 3.7.2 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los registros del servidor en busca de patrones de inyección de scripts también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 3.7.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24973 is a Reflected XSS vulnerability affecting the CitiLights WordPress theme, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using the CitiLights WordPress theme in versions 0.0.0 through 3.7.1. Upgrade to 3.7.2 or later to resolve the issue.
Upgrade the CitiLights WordPress theme to version 3.7.2 or later. Consider WAF rules as a temporary workaround if immediate upgrade is not possible.
There is currently no indication that CVE-2026-24973 is being actively exploited in the wild.
Refer to the NooTheme website or WordPress plugin repository for the official advisory and update information regarding CVE-2026-24973.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.