Plataforma
wordpress
Componente
remoji
Corregido en
2.2.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin Remoji para WordPress. Esta falla permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 2.2 inclusive. Una actualización a la versión 2.2.1 soluciona esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad puede ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario que visite un sitio web afectado. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. El impacto puede ser significativo, especialmente si el sitio web es utilizado por un gran número de usuarios o si contiene información sensible. La ejecución de código arbitrario en el navegador del usuario abre la puerta a una amplia gama de ataques, comprometiendo la confianza y la seguridad del sitio web.
Esta vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques oportunistas. La disponibilidad de un PoC público podría facilitar su explotación. Se recomienda monitorear activamente los sistemas afectados.
Websites using the Remoji plugin, particularly those with user-generated content or forms where user input is not properly sanitized, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised website could potentially be used to attack other websites on the same server.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/remoji/*• wordpress / composer / npm:
wp plugin list | grep remoji• wordpress / composer / npm:
wp plugin update remoji --version=2.2.1disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Remoji a la versión 2.2.1 o superior. Si la actualización no es posible de inmediato, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25452 is a Stored XSS vulnerability in the Remoji WordPress plugin, allowing attackers to inject malicious scripts that are stored and executed by other users.
You are affected if you are using Remoji versions 0.0.0 through 2.2. Check your plugin versions and update immediately.
Update the Remoji plugin to version 2.2.1 or later. If upgrading is not possible, temporarily disable the plugin.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation will occur.
Refer to the Remoji plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.