Plataforma
wordpress
Componente
contact-manager
Corregido en
9.1.1
La vulnerabilidad CVE-2026-32517 es una falla de Cross-Site Scripting (XSS) reflejado presente en Kleor Contact Manager. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web, comprometiendo la seguridad de los usuarios. Afecta a las versiones de Kleor Contact Manager desde n/a hasta la versión 9.1, siendo solucionada en la versión 9.1.1.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web, o incluso el acceso a información confidencial. El impacto se agrava si la aplicación se utiliza para gestionar información sensible, como datos de contacto o información personal. La ejecución de scripts maliciosos podría permitir al atacante obtener control sobre la cuenta del usuario, acceder a datos sensibles almacenados en la aplicación, o incluso comprometer el servidor web subyacente.
La vulnerabilidad fue publicada el 25 de marzo de 2026. No se ha añadido a KEV en este momento. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de XSS reflejado hace que la explotación sea relativamente sencilla una vez identificada la entrada vulnerable. La severidad es alta debido al potencial impacto en la confidencialidad y la integridad de los datos.
Websites using the Kleor Contact Manager plugin, particularly those running older versions (prior to 9.1.1), are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "contact-manager" /var/www/html/wp-content/plugins/
wp plugin list | grep contact-manager• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La solución principal es actualizar Kleor Contact Manager a la versión 9.1.1 o superior, que incluye la corrección para esta vulnerabilidad. Como medida temporal, se recomienda implementar validación y sanitización rigurosa de todas las entradas de usuario antes de mostrarlas en la página web. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Es crucial revisar el código fuente de la aplicación para identificar y corregir cualquier otra instancia de código vulnerable a XSS.
Actualizar a la versión 9.1.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32517 is a Reflected XSS vulnerability affecting Kleor Contact Manager versions up to 9.1, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Kleor Contact Manager version 9.1 or earlier. Upgrade to 9.1.1 to mitigate the risk.
Upgrade Kleor Contact Manager to version 9.1.1 or later. Consider input validation and output encoding as an interim measure.
No active exploitation has been confirmed at this time, but the vulnerability's nature makes it likely that exploitation attempts will occur.
Refer to the Kleor Contact Manager website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.