Plataforma
wordpress
Componente
mydecor
Corregido en
1.5.10
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el plugin MyDecor para WordPress. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web generadas por el plugin. Afecta a las versiones desde 0.0.0 hasta la 1.5.9, y se recomienda actualizar a la versión 1.5.9 para mitigar el riesgo.
Un atacante puede aprovechar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial es significativo, ya que un atacante podría comprometer la cuenta de un usuario o incluso obtener acceso a información confidencial almacenada en el sitio web. La inyección de scripts podría ser utilizada para realizar phishing o para propagar malware.
Esta vulnerabilidad ha sido publicada el 25 de marzo de 2026. No se han reportado casos de explotación activa a la fecha. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera moderada, dada la naturaleza común de las vulnerabilidades XSS y la disponibilidad de herramientas para explotarlas.
Websites using the MyDecor plugin, particularly those with user-facing forms or features that accept user input, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/mydecor/*• generic web:
curl -I https://example.com/mydecor/?param=<script>alert('XSS')</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep mydecor• wordpress / composer / npm:
wp plugin update mydecordisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin MyDecor a la versión 1.5.9 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es posible de inmediato, se pueden implementar medidas de mitigación temporales, como la validación y el saneamiento de todas las entradas de usuario antes de utilizarlas en la generación de páginas web. Además, se recomienda implementar una Web Application Firewall (WAF) que pueda detectar y bloquear intentos de inyección de scripts. Monitorear los logs del servidor en busca de patrones sospechosos de XSS también puede ayudar a identificar y responder a ataques.
Actualizar a la versión 1.5.9 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25352 is a Reflected Cross-Site Scripting (XSS) vulnerability affecting the MyDecor WordPress plugin, allowing attackers to inject malicious scripts into web pages.
If you are using MyDecor versions 0.0.0 through 1.5.9, you are affected by this vulnerability. Upgrade to version 1.5.9 or later to mitigate the risk.
The recommended fix is to upgrade the MyDecor plugin to version 1.5.9 or later. Consider input validation and WAF rules as temporary workarounds if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but given the nature of XSS vulnerabilities, exploitation is likely to occur.
Refer to the MyDecor plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.