Plataforma
wordpress
Componente
phox-host
Corregido en
2.0.9
La vulnerabilidad CVE-2026-25013 es una falla de Cross-Site Scripting (XSS) reflejado presente en Phox Hosting, un plugin para WordPress. Esta vulnerabilidad permite a un atacante inyectar código malicioso en las páginas web, potencialmente comprometiendo la información del usuario o realizando acciones en su nombre. Afecta a las versiones desde 0.0.0 hasta la 2.0.8, siendo solucionada en la versión 2.0.9.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web de Phox Hosting. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos o la modificación del contenido de la página. La inyección de scripts podría ser utilizada para obtener acceso no autorizado a cuentas de usuario, robar información confidencial o realizar acciones en nombre del usuario. El impacto se amplifica si Phox Hosting se utiliza en entornos de hosting compartido, ya que un atacante podría comprometer múltiples sitios web a través de una sola vulnerabilidad.
La vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado explotación activa a la fecha. La puntuación CVSS de 7.1 (ALTO) indica una probabilidad moderada de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Websites using Phox Hosting plugin versions 0.0.0 through 2.0.8 are at immediate risk. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a successful attack on one site could potentially impact others. Users who have not implemented robust input validation and output encoding practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'phox-host' /var/www/html/wp-content/plugins/
wp plugin list | grep phox-host• generic web:
curl -I 'https://example.com/?param=<script>alert(1)</script>' # Check for reflected script tag in response headersdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Phox Hosting a la versión 2.0.9 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario y la codificación de la salida para prevenir la ejecución de scripts maliciosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de XSS. Monitorear los logs de acceso y error en busca de patrones sospechosos también puede ayudar a detectar intentos de explotación.
Actualizar a la versión 2.0.9 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25013 is a Reflected XSS vulnerability in Phox Hosting versions 0.0.0 through 2.0.8, allowing attackers to inject malicious scripts via crafted URLs.
If you are using Phox Hosting version 2.0.8 or earlier, you are affected by this vulnerability. Upgrade to 2.0.9 or later to mitigate the risk.
The primary fix is to upgrade Phox Hosting to version 2.0.9 or later. Consider implementing input validation and output encoding as an additional security measure.
While no widespread exploitation has been confirmed, the ease of exploitation makes it a likely target. Monitor security advisories and threat intelligence feeds.
Refer to the Phox Hosting project's official website or WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.