Plataforma
wordpress
Componente
miti
Corregido en
1.5.4
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en el plugin Miti para WordPress. Esta falla permite a un atacante inyectar código JavaScript malicioso en las páginas web generadas por Miti, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.5.3, y se recomienda actualizar a la versión 1.5.3 para solucionar el problema.
Un atacante podría explotar esta vulnerabilidad para ejecutar scripts maliciosos en el contexto del navegador de un usuario que visite una página web vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. La severidad de este ataque depende del nivel de privilegios del usuario afectado y de la sensibilidad de la información a la que tenga acceso. La inyección de scripts podría ser orquestada a través de parámetros en la URL o en campos de entrada de formularios, aprovechando la falta de una validación o sanitización adecuada de la entrada del usuario.
Esta vulnerabilidad fue publicada el 2026-03-25. No se han reportado campañas de explotación activas conocidas a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Websites utilizing the skygroup Miti plugin, particularly those handling sensitive user data or with a large user base, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/miti/*
grep -r 'event=' /var/www/html/wp-content/plugins/miti/*• generic web:
curl -I 'https://example.com/?param=<script>alert("XSS")</script>' | grep 'Content-Type:'disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Miti a la versión 1.5.3 o superior, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización de todas las entradas del usuario en el código de Miti. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Monitorear los logs del servidor en busca de intentos de inyección de scripts también puede ayudar a detectar y responder a ataques.
Actualizar a la versión 1.5.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25350 is a Reflected XSS vulnerability in the skygroup Miti WordPress plugin, allowing attackers to inject malicious scripts. It affects versions 0.0.0 through 1.5.3 and poses a significant security risk.
You are affected if you are using skygroup Miti version 0.0.0 through 1.5.3. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the skygroup Miti plugin to version 1.5.3 or later. Consider implementing a WAF rule as a temporary mitigation if upgrading is not immediately possible.
There is currently no public evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the skygroup website or the WordPress plugin repository for the latest advisory and update information regarding CVE-2026-25350.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.