Plataforma
javascript
Componente
horilla
Corregido en
1.0.1
1.0.2
1.0.3
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Leads de horilla, afectando a las versiones 1.0.0 hasta 1.0.2. Esta falla reside en la función desconocida del archivo static/assets/js/global.js y permite la inyección de código malicioso a través de la manipulación del argumento Notes. La actualización a la versión 1.0.3 es la solución recomendada para abordar esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad XSS para inyectar scripts maliciosos en la página web de horilla. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. La ejecución remota de este ataque aumenta significativamente el riesgo, ya que no requiere interacción directa del usuario. La publicación de un exploit público facilita la explotación por parte de actores maliciosos con diferentes niveles de habilidad, ampliando el potencial de daño.
La vulnerabilidad CVE-2026-3050 ha sido publicada y un Proof of Concept (PoC) está disponible públicamente, lo que indica una alta probabilidad de explotación. Aunque la CVSS score es LOW (3.5), la disponibilidad del PoC aumenta el riesgo. No se ha confirmado explotación activa en campañas conocidas, pero la publicación del exploit la hace susceptible a ser utilizada por atacantes. La fecha de publicación es 2026-02-24.
Organizations using horilla with the Leads Module installed and running versions 1.0.0 through 1.0.2 are at immediate risk. Shared hosting environments where multiple users share the same instance of horilla are particularly vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• javascript: Inspect the static/assets/js/global.js file for any unusual or suspicious code related to handling user input, particularly the 'Notes' field.
• generic web: Monitor access logs for requests containing unusual or obfuscated JavaScript code in the 'Notes' parameter. Look for patterns indicative of XSS attempts.
• generic web: Examine response headers for signs of script injection or unexpected behavior.
• wordpress: Check plugin files for the presence of the vulnerable global.js file and any modifications to its handling of user input.
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar horilla a la versión 1.0.3, que incluye la corrección. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales como la validación y el saneamiento de la entrada del usuario en el módulo Leads. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear payloads XSS comunes puede proporcionar una capa adicional de protección. El parche asociado a esta corrección es fc5c8e55988e89273012491b5f097b762b474546. Después de la actualización, verifique que la vulnerabilidad haya sido resuelta revisando el archivo global.js y asegurándose de que la entrada del usuario se esté validando correctamente.
Actualice horilla a la versión 1.0.3 o posterior. Esta versión contiene una corrección para la vulnerabilidad de cross-site scripting. La actualización se puede realizar descargando la última versión del software y reemplazando los archivos existentes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3050 is a cross-site scripting vulnerability affecting horilla Leads Module versions 1.0.0–1.0.3, allowing attackers to inject malicious scripts.
Yes, if you are using horilla Leads Module versions 1.0.0 through 1.0.2, you are vulnerable to this XSS attack.
Upgrade the horilla Leads Module to version 1.0.3 or later to resolve this vulnerability. Input validation is a temporary workaround.
A proof-of-concept has been published, suggesting a high likelihood of active exploitation.
Refer to the horilla project's official website or repository for the latest security advisories and updates related to CVE-2026-3050.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.