Plataforma
php
Componente
we-mp-rss
Corregido en
1.4.1
1.4.2
1.4.3
1.4.4
1.4.5
1.4.6
1.4.7
1.4.8
1.4.9
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la librería we-mp-rss de rachelos WeRSS, afectando a las versiones desde 1.4.0 hasta 1.4.8. Esta falla reside en la función fix_html del archivo tools/fix.py dentro del módulo de artículos. La manipulación de esta función permite a un atacante inyectar código malicioso que se ejecuta en el navegador de un usuario.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts maliciosos en el contexto del navegador de un usuario que visita una página web que utiliza la librería we-mp-rss vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto es particularmente grave si la aplicación web es utilizada por un gran número de usuarios o si maneja información sensible. La divulgación pública de la explotación aumenta significativamente el riesgo de ataques.
La vulnerabilidad ha sido divulgada públicamente el 20 de febrero de 2026, lo que aumenta la probabilidad de explotación. No se ha reportado su inclusión en el KEV de CISA, pero la disponibilidad de una prueba de concepto pública indica un riesgo significativo. Se recomienda monitorear activamente los sistemas afectados.
Websites and applications utilizing WeRSS we-mp-rss versions 1.4.0 through 1.4.8 are at risk. This includes websites that integrate WeRSS for RSS feed management and display. Shared hosting environments where multiple websites share the same server instance are particularly vulnerable, as a compromise of one website could potentially lead to the compromise of others.
• php / web:
grep -r "fix_html" /var/www/html/we-mp-rss/• generic web:
curl -I https://your-website.com/article.php?title=$(echo '<script>alert("XSS")</script>' | base64 -d) | grep 'XSS'disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida de we-mp-rss. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario antes de ser mostradas en la página web. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de código malicioso. Verifique la integridad de los archivos de la librería para detectar modificaciones no autorizadas.
Actualice el módulo we-mp-rss a una versión posterior a la 1.4.8 para corregir la vulnerabilidad de Cross-Site Scripting (XSS) en la función fix_html del archivo tools/fix.py. Esto evitará la manipulación remota y la ejecución de scripts maliciosos en el navegador del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2825 is a cross-site scripting (XSS) vulnerability affecting WeRSS we-mp-rss versions 1.4.0 through 1.4.8, allowing attackers to inject malicious scripts.
You are affected if your WeRSS we-mp-rss installation is running versions 1.4.0 to 1.4.8. Check your version and upgrade immediately.
Upgrade WeRSS we-mp-rss to a patched version. As a temporary workaround, implement input validation and output encoding.
While the CVSS score is LOW, the public disclosure suggests a potential for exploitation. Monitor security advisories for updates.
Refer to the WeRSS project's official website or security mailing list for the latest advisory regarding CVE-2026-2825.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.