Plataforma
wordpress
Componente
et-core-plugin
Corregido en
5.6.5
La vulnerabilidad CVE-2026-25306 es una falla de Cross-Site Scripting (XSS) reflejado detectada en el plugin XStore Core para WordPress. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web, comprometiendo potencialmente la seguridad de los usuarios. Afecta a las versiones desde 0.0.0 hasta la 5.6.4, y se ha solucionado en la versión 5.6.5.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de parámetros en la URL o en campos de entrada de la aplicación. Cuando un usuario visita una página que contiene este código malicioso, el script se ejecuta en el contexto del navegador del usuario, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso realizar modificaciones en el contenido de la página web (defacement). El impacto puede ser significativo, especialmente en sitios web con un alto tráfico o que manejan información sensible de los usuarios. La ejecución de código en el navegador del usuario permite al atacante simular ser el usuario legítimo, facilitando el acceso no autorizado a la aplicación y sus datos.
La vulnerabilidad CVE-2026-25306 fue publicada el 25 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La existencia de un POC público podría facilitar la explotación de esta vulnerabilidad por parte de actores maliciosos, por lo que se recomienda aplicar las mitigaciones lo antes posible.
Websites using the XStore Core plugin for WordPress, particularly those with user input fields or forms that are not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'XStore Core' /var/www/html/wp-content/plugins/
wp plugin list | grep 'XStore Core'• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin XStore Core a la versión 5.6.5 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden utilizar políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts que se pueden ejecutar en el navegador. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de código también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la mitigación revisando los registros del servidor y realizando pruebas de penetración básicas.
Actualizar a la versión 5.6.5, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25306 is a Reflected XSS vulnerability in the XStore Core WordPress plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using XStore Core versions 0.0.0 through 5.6.4. Upgrade to 5.6.5 or later to mitigate the risk.
Upgrade the XStore Core plugin to version 5.6.5 or later. If upgrading is not possible immediately, implement input validation and output encoding.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the official XStore Core website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.