Plataforma
wordpress
Componente
faq-builder-ays
Corregido en
1.8.3
La vulnerabilidad CVE-2026-25346 es una falla de Cross-Site Scripting (XSS) en el plugin FAQ Builder AYS. Esta vulnerabilidad permite la explotación de controles de acceso mal configurados, lo que podría llevar a la ejecución de código malicioso en el navegador de un usuario. Afecta a las versiones desde 0.0.0 hasta la 1.8.2, y se ha solucionado en la versión 1.8.3.
Un atacante podría aprovechar esta vulnerabilidad para inyectar scripts maliciosos en las páginas generadas por el plugin FAQ Builder AYS. Estos scripts podrían robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad de la aplicación web y obtener acceso a información sensible. La explotación exitosa podría resultar en el robo de credenciales de usuario o la manipulación de datos críticos.
La vulnerabilidad fue publicada el 25 de marzo de 2026. No se han reportado campañas de explotación activas a la fecha. La severidad se ha clasificado como Alta (7.1) según el CVSS. No se ha añadido a la lista KEV de CISA.
Websites utilizing the FAQ Builder AYS plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites using the plugin.
• wordpress / composer / npm:
grep -r '<script>alert('XSS')</script>' /var/www/html/wp-content/plugins/faq-builder-ays/• wordpress / composer / npm:
wp plugin list --status=active | grep faq-builder-ays• wordpress / composer / npm:
wp plugin update faq-builder-ays --alldisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin FAQ Builder AYS a la versión 1.8.3 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar y reforzar los controles de acceso del plugin para evitar la inyección de scripts maliciosos. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para filtrar solicitudes que contengan código potencialmente malicioso. Verifique que la configuración de seguridad del plugin sea la más restrictiva posible.
Actualizar a la versión 1.8.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25346 is a Cross-site Scripting (XSS) vulnerability in the FAQ Builder AYS WordPress plugin, allowing attackers to inject malicious scripts through incorrectly configured access controls.
You are affected if you are using FAQ Builder AYS versions 0.0.0 through 1.8.2. Upgrade to 1.8.3 or later to mitigate the risk.
Upgrade the FAQ Builder AYS plugin to version 1.8.3 or later. If immediate upgrade is not possible, implement temporary workarounds like input validation and WAF rules.
There is currently no indication of active exploitation campaigns targeting CVE-2026-25346, but vigilance is still advised.
Refer to the FAQ Builder AYS plugin documentation and website for the official advisory and release notes regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.