Plataforma
wordpress
Componente
gaea
Corregido en
3.8
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en el plugin Gaea de imithemes. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la seguridad de los usuarios y la integridad del sitio. La vulnerabilidad afecta a las versiones de Gaea anteriores a la 3.8 y ha sido publicada el 25 de marzo de 2026. La solución recomendada es actualizar a la versión 3.8.
La vulnerabilidad XSS reflejada en Gaea permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visita una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Un atacante podría explotar esta vulnerabilidad mediante la inyección de un script malicioso en una URL o en un campo de entrada de formulario. El impacto potencial es considerable, ya que puede afectar a todos los usuarios que interactúan con la página web vulnerable, comprometiendo la confidencialidad, integridad y disponibilidad de la información.
Esta vulnerabilidad ha sido publicada recientemente y, aunque no se han reportado casos de explotación activa, la naturaleza de XSS la convierte en un objetivo atractivo para los atacantes. La disponibilidad de un PoC público podría acelerar su explotación. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible. La vulnerabilidad se encuentra en el catálogo KEV, lo que indica una probabilidad de explotación moderada.
Websites using imithemes Gaea plugin versions prior to 3.8 are at risk. This includes websites that rely on Gaea for specific functionalities, such as custom page templates or shortcodes. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "imithemes/gaea" /var/www/html
wp plugin list | grep gaea• generic web:
curl -I https://example.com/?param=<script>alert(1)</script> | grep -i scriptdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Gaea a la versión 3.8, que incluye la corrección de seguridad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuros ataques XSS.
Actualizar a la versión 3.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32518 is a Reflected XSS vulnerability in the imithemes Gaea WordPress plugin, allowing attackers to inject malicious scripts into web pages.
You are affected if you are using imithemes Gaea versions prior to 3.8. Check your plugin version and upgrade if necessary.
Upgrade imithemes Gaea to version 3.8 or later to resolve the vulnerability. Consider input validation and WAF rules as interim measures.
There is no confirmed active exploitation of CVE-2026-32518 at this time, but the potential for exploitation exists.
Refer to the imithemes website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.