Plataforma
wordpress
Componente
us-core
Corregido en
8.41.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en UpSolution Core, un componente para WordPress. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en las páginas web, potencialmente comprometiendo la seguridad de los usuarios. Afecta a las versiones desde 0.0.0 hasta la 8.41, y la solución recomendada es actualizar a la versión 8.42.
La vulnerabilidad XSS reflejada en UpSolution Core permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede llevar al robo de cookies de sesión, redirecciones a sitios web maliciosos, o incluso la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad enviando un enlace especialmente diseñado a un usuario, que al hacer clic, ejecutaría el código malicioso. El impacto potencial es significativo, ya que podría comprometer la confidencialidad, integridad y disponibilidad de la información del usuario y del sitio web.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. La puntuación CVSS de 7.1 (HIGH) indica un riesgo significativo. No se ha añadido a la lista KEV de CISA al momento de esta redacción.
Websites using the UpSolution Core plugin, particularly those with user input forms or features that allow users to contribute content, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/us-core/*• generic web:
curl -I https://example.com/vulnerable-page?input=<script>alert('XSS')</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep us-core• wordpress / composer / npm:
wp plugin update us-coredisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar UpSolution Core a la versión 8.42 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de validación de entrada en el código de la aplicación para prevenir la inyección de scripts. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Verifique la integridad de los archivos del plugin para detectar modificaciones no autorizadas.
Actualizar a la versión 8.42, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24983 is a Reflected XSS vulnerability affecting UpSolution Core versions 0.0.0–8.41, allowing attackers to inject malicious scripts via web requests.
If you are using UpSolution Core versions 0.0.0 through 8.41 on your WordPress site, you are potentially affected by this vulnerability.
Upgrade UpSolution Core to version 8.42 or later to resolve the vulnerability. Consider a WAF as a temporary mitigation if upgrading is not immediately possible.
While no active exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation.
Refer to the official UpSolution Core website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.