Plataforma
wordpress
Componente
loobek
Corregido en
1.5.3
La vulnerabilidad CVE-2026-25349 es una falla de Inyección de Scripts entre Sitios (XSS) reflejada en Loobek, un plugin de WordPress. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en las páginas web generadas por Loobek, comprometiendo potencialmente la seguridad del sitio. Afecta a las versiones desde 0.0.0 hasta la 1.5.2, y se recomienda actualizar a la versión 1.5.2 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts maliciosos en el navegador de los usuarios que visitan el sitio web. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página o incluso el control total del sitio web. La inyección de scripts maliciosos puede comprometer la confidencialidad, integridad y disponibilidad de la información del sitio web y sus usuarios. La naturaleza reflejada de la XSS significa que el atacante necesita engañar al usuario para que haga clic en un enlace malicioso o visite una página web comprometida.
La vulnerabilidad fue publicada el 2026-03-25. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. La falta de una puntuación CVSS inicial indica que la evaluación de la severidad está en curso. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Websites utilizing the Loobek WordPress plugin, particularly those with user authentication and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/loobek/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep loobekdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Loobek a la versión 1.5.2 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Implementar reglas de Web Application Firewall (WAF) para filtrar las entradas de usuario y bloquear la inyección de scripts maliciosos. Realizar una validación y escape exhaustivos de todas las entradas de usuario antes de mostrarlas en la página web. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts.
Actualizar a la versión 1.5.2 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25349 is a Reflected Cross-Site Scripting (XSS) vulnerability in the Loobek WordPress plugin, allowing attackers to inject malicious scripts into web pages.
You are affected if you are using Loobek versions 0.0.0 through 1.5.2. Upgrade to 1.5.2 or later to mitigate the risk.
Upgrade the Loobek WordPress plugin to version 1.5.2 or later. Consider WAF rules or input validation as temporary workarounds.
No active exploitation has been confirmed at this time, but the vulnerability is publicly known.
Refer to the skygroup website or the WordPress plugin repository for the latest advisory and updates regarding CVE-2026-25349.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.