Plataforma
wordpress
Componente
mage-eventpress
Corregido en
5.1.5
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el plugin WpEvently de magepeopleteam. Esta falla permite a atacantes inyectar scripts maliciosos en las páginas web, comprometiendo potencialmente la seguridad del sitio. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 5.1.4, y se recomienda actualizar a la versión 5.1.5 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página o incluso el acceso a información confidencial almacenada en el sitio. La severidad de este ataque depende del nivel de acceso que tenga el atacante al sitio web y de la sensibilidad de la información que se maneja.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. La disponibilidad de un Proof of Concept (PoC) público podría facilitar la explotación por parte de atacantes con menos experiencia.
Websites using the WpEvently plugin, particularly those with user registration or comment functionality, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "mage-eventpress" /var/www/html/wp-content/plugins/
wp plugin list | grep mage-eventpress• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WpEvently a la versión 5.1.5 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario antes de mostrarlas en la página web. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Verifique la integridad de los archivos del plugin para detectar modificaciones no autorizadas.
Actualizar a la versión 5.1.5 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25361 is a Reflected XSS vulnerability in the WpEvently WordPress plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using WpEvently versions 0.0.0 through 5.1.4. Upgrade to 5.1.5 or later to resolve the vulnerability.
Upgrade the WpEvently plugin to version 5.1.5 or later. Consider input validation and output encoding as a temporary workaround.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation suggests it may be targeted.
Refer to the magepeopleteam website or the WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.