Plataforma
wordpress
Componente
vayvo-progression
Corregido en
6.8.1
La vulnerabilidad CVE-2026-25373 es una falla de Cross-Site Scripting (XSS) reflejado descubierta en Vayvo Progression. Esta vulnerabilidad permite a un atacante inyectar código malicioso en las páginas web generadas por la aplicación, potencialmente comprometiendo la seguridad de los usuarios. Afecta a las versiones de Vayvo Progression desde 0.0.0 hasta la 6.8, y se ha solucionado en la versión 6.8.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web que ve un usuario legítimo. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador del usuario. El impacto potencial es significativo, ya que un atacante podría obtener acceso a información confidencial o realizar acciones en nombre del usuario afectado. La naturaleza reflejada de la XSS implica que el atacante debe engañar al usuario para que haga clic en un enlace malicioso o visite una página web comprometida.
La vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas. La puntuación CVSS es 7.1 (HIGH), indicando una probabilidad moderada de explotación. No se ha añadido a la lista KEV de CISA al momento de esta redacción.
Websites utilizing ProgressionStudios Vayvo, particularly those with user input fields or dynamic content generation, are at risk. Shared hosting environments where multiple websites share the same server resources are also particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "vayvo-progression" /var/www/html
grep -r "<script>" /var/www/html• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Vayvo Progression a la versión 6.8 o superior, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de Web Application Firewall (WAF) para filtrar las entradas de usuario y prevenir la inyección de scripts. Además, se pueden aplicar validaciones y sanitizaciones estrictas a todas las entradas de usuario en el código de la aplicación. Verifique que la actualización se haya realizado correctamente ejecutando pruebas de regresión para asegurar que la funcionalidad principal no se vea afectada.
Actualizar a la versión 6.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25373 is a Reflected XSS vulnerability in ProgressionStudios Vayvo, allowing attackers to inject malicious scripts via web page generation. It's rated HIGH severity (7.1 CVSS).
You are affected if you are using Vayvo versions 0.0.0 through 6.8. Upgrade to version 6.8 to mitigate the risk.
Upgrade Vayvo to version 6.8 or later. Implement input validation and output encoding as a temporary workaround.
While no public exploits are currently known, the ease of exploitation for Reflected XSS suggests potential for active exploitation.
Refer to the ProgressionStudios website or their official security advisory channels for the latest information and updates regarding CVE-2026-25373.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.