Plataforma
wordpress
Componente
nooni
Corregido en
1.5.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Nooni, un plugin de WordPress. Esta falla permite a atacantes inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la información de los usuarios o redirigiéndolos a sitios web fraudulentos. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 1.5.1, y se recomienda actualizar a la versión 1.5.1 para solucionar el problema.
La vulnerabilidad XSS reflejada en Nooni permite a un atacante inyectar código JavaScript malicioso en las páginas web que visualizan los usuarios. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página o la ejecución de código arbitrario en el navegador de la víctima. Un atacante podría explotar esta vulnerabilidad mediante la manipulación de parámetros en las URL o la inyección de código en campos de entrada que no están correctamente sanitizados. El impacto potencial es significativo, ya que puede comprometer la confidencialidad, integridad y disponibilidad de los datos del usuario y del sitio web.
La vulnerabilidad CVE-2026-25353 fue publicada el 25 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La existencia de un PoC público podría facilitar la explotación de esta vulnerabilidad, por lo que se recomienda aplicar las mitigaciones lo antes posible.
Websites using the Nooni WordPress plugin, particularly those with user-supplied input fields that are not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/nooni/*• generic web:
curl -I https://example.com/page-with-vulnerable-input?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep nooni• wordpress / composer / npm:
wp plugin update noonidisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Nooni a la versión 1.5.1 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Monitorear los registros del servidor en busca de intentos de inyección de código JavaScript también puede ayudar a detectar y responder a ataques.
Actualizar a la versión 1.5.1 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25353 is a Reflected Cross-Site Scripting (XSS) vulnerability in the Nooni WordPress plugin, allowing attackers to inject malicious scripts into web pages.
You are affected if you are using Nooni WordPress plugin versions 0.0.0 through 1.5.0. Upgrade to 1.5.1 or later to mitigate the risk.
Upgrade the Nooni WordPress plugin to version 1.5.1 or later. Consider WAF rules and input validation as temporary workarounds if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but public PoCs are likely to emerge.
Refer to the Nooni plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.