Plataforma
wordpress
Componente
wp-rest-cache
Corregido en
2026.1.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin WP REST Cache. Esta falla permite a atacantes inyectar código JavaScript malicioso que se ejecuta en el navegador de los usuarios que visitan el sitio web. La vulnerabilidad afecta a las versiones desde la n/a hasta la 2026.1.0, y se recomienda actualizar a la versión 2026.1.1 para solucionar el problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario. Esto podría permitir el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso la toma del control de la cuenta del usuario. El impacto es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad del sitio web y sus datos. La ejecución de JavaScript en el contexto del usuario permite un amplio rango de ataques, desde la recopilación de información sensible hasta la manipulación de la interfaz de usuario para engañar a los usuarios.
Esta vulnerabilidad fue publicada el 2026-03-25. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS hace que sea un objetivo atractivo para atacantes. La presencia de un plugin de caché ampliamente utilizado aumenta la superficie de ataque. Se recomienda monitorear los logs del servidor y la actividad del sitio web en busca de signos de explotación.
Websites using the WP REST Cache plugin, particularly those with user-generated content or features that allow users to input data that is stored and displayed by the plugin, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/wp-rest-cache/• wordpress / composer / npm:
wp plugin list --status=inactive | grep wp-rest-cache• wordpress / composer / npm:
wp plugin update wp-rest-cache --all• generic web: Inspect website source code for suspicious JavaScript code injected into pages served by the WP REST Cache plugin.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP REST Cache a la versión 2026.1.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Además, revise y sanee cualquier entrada de datos proporcionada por el usuario para evitar la inyección de código malicioso. Después de la actualización, verifique que el plugin se actualice correctamente y que las funciones de caché funcionen como se espera.
Actualizar a la versión 2026.1.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25347 is a stored XSS vulnerability in the WP REST Cache plugin for WordPress, allowing attackers to inject malicious scripts. It affects versions 0.0 through 2026.1.0.
You are affected if you are using the WP REST Cache plugin in versions 0.0 to 2026.1.0. Check your plugin version and update immediately if vulnerable.
Upgrade the WP REST Cache plugin to version 2026.1.1 or later. Consider input validation and WAF rules as interim mitigations.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it a likely target.
Refer to the WP REST Cache plugin's official website or WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.