Plataforma
wordpress
Componente
vikrestaurants
Corregido en
1.5.3
La vulnerabilidad CVE-2026-25025 es una falla de Cross-Site Scripting (XSS) reflejado descubierta en el componente VikRestaurants para WordPress. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en las páginas web, potencialmente comprometiendo la información del usuario o redirigiéndolo a sitios web maliciosos. Afecta a las versiones de VikRestaurants desde 0.0.0 hasta la 1.5.2, siendo corregida en la versión 1.5.3.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de parámetros en la URL o en campos de entrada de la aplicación VikRestaurants. Si un usuario visita una página web que contiene este código malicioso, el script se ejecutará en el contexto del navegador del usuario, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web de phishing o incluso ejecutar código arbitrario en el navegador. El impacto puede variar dependiendo de los permisos del usuario afectado y la sensibilidad de la información a la que tiene acceso. La ejecución de código en el navegador del usuario puede permitir el robo de credenciales o la manipulación de la interfaz de usuario.
La vulnerabilidad CVE-2026-25025 fue publicada el 25 de marzo de 2026. No se ha reportado explotación activa en campañas dirigidas, pero la naturaleza de XSS reflejado la hace susceptible a ataques oportunistas. La disponibilidad de un PoC público podría facilitar la explotación por parte de actores maliciosos. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa.
Websites utilizing the VikRestaurants WordPress plugin, particularly those with user input fields that are not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a successful exploit on one site could potentially impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/vikrestaurants/*• wordpress / composer / npm:
wp plugin list --status=all | grep vikrestaurants• wordpress / composer / npm:
wp plugin update vikrestaurants• generic web: Inspect URL parameters for suspicious characters or script tags when accessing VikRestaurants plugin features. • generic web: Review WordPress error logs for any JavaScript errors related to VikRestaurants.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar VikRestaurants a la versión 1.5.3 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Es crucial revisar y fortalecer las políticas de seguridad del contenido (CSP) para limitar las fuentes de scripts permitidas.
Actualizar a la versión 1.5.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25025 is a Reflected XSS vulnerability in the VikRestaurants WordPress plugin allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using VikRestaurants version 0.0.0 through 1.5.2. Upgrade to 1.5.3 or later to resolve the issue.
Upgrade the VikRestaurants plugin to version 1.5.3 or later. Consider temporary workarounds like input validation and output encoding if immediate upgrade is not possible.
There is currently no evidence of active exploitation of CVE-2026-25025 in the wild.
Refer to the official VikRestaurants website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.