Plataforma
wordpress
Componente
jaroti
Corregido en
1.4.9
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Jaroti, un plugin para WordPress. Esta falla permite a un atacante inyectar código JavaScript malicioso en las páginas web generadas por Jaroti, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.4.8, y se recomienda actualizar a la versión 1.4.8 para solucionar el problema.
La vulnerabilidad XSS reflejada en Jaroti permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible. Un atacante podría explotar esta vulnerabilidad mediante la inyección de código malicioso a través de parámetros de URL o campos de entrada en la aplicación. La severidad de este ataque depende del nivel de privilegios del usuario afectado y de la sensibilidad de la información a la que tiene acceso.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La presencia de una vulnerabilidad XSS en un plugin popular como Jaroti la convierte en un objetivo atractivo para atacantes. No se ha añadido a KEV al momento de la redacción.
Websites using the Jaroti plugin, particularly those with user-facing forms or features that accept user input without proper sanitization, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/wordpress/wp-content/plugins/jaroti/• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=active | grep jaroti• wordpress / composer / npm:
wp plugin update jarotidisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Jaroti a la versión 1.4.8 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de código JavaScript sospechosos. Es crucial revisar los logs del servidor en busca de intentos de inyección de código malicioso.
Actualizar a la versión 1.4.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25304 is a Reflected XSS vulnerability in the Jaroti WordPress plugin, allowing attackers to inject malicious scripts via crafted URLs. It affects versions 0.0.0–1.4.8 and has a CVSS score of 7.1 (HIGH).
If you are using the Jaroti WordPress plugin in versions 0.0.0 through 1.4.8, you are potentially affected by this vulnerability. Check your plugin version and upgrade immediately if necessary.
The recommended fix is to upgrade the Jaroti WordPress plugin to version 1.4.8 or later. If immediate upgrade is not possible, implement temporary workarounds like input validation and a WAF.
While no active exploitation has been confirmed, the ease of exploitation associated with Reflected XSS suggests a potential for exploitation. Monitor your systems for suspicious activity.
Refer to the official Jaroti plugin documentation and WordPress.org plugin page for updates and advisories related to CVE-2026-25304.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.