Plataforma
wordpress
Componente
woo-abandoned-cart-recovery
Corregido en
1.1.11
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin Abandoned Cart Recovery para WooCommerce de VillaTheme. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web, comprometiendo potencialmente la seguridad de los usuarios. Afecta a las versiones del plugin desde n/a hasta la 1.1.10, y se recomienda actualizar a la versión 1.1.11 para solucionar el problema.
La vulnerabilidad de XSS almacenada permite a un atacante inyectar código JavaScript malicioso en las páginas web que utilizan el plugin Abandoned Cart Recovery para WooCommerce. Un atacante podría aprovechar esta vulnerabilidad para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador del usuario. El impacto potencial es significativo, ya que podría comprometer la confidencialidad, integridad y disponibilidad de los datos de los usuarios y del sitio web. Esta vulnerabilidad podría ser explotada para realizar ataques de phishing dirigidos a los usuarios de la tienda online, o para obtener acceso no autorizado a la administración del sitio.
La vulnerabilidad fue publicada el 25 de marzo de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WooCommerce store owners using the Abandoned Cart Recovery for WooCommerce plugin, particularly those running older versions (prior to 1.1.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r "villaTheme Abandoned Cart Recovery" /var/www/html/wp-content/plugins/
wp plugin list | grep abandoned-cart-recovery• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=abandoned_cart_recovery_save_data | grep -i content-security-policydisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Abandoned Cart Recovery para WooCommerce a la versión 1.1.11 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los logs del servidor en busca de patrones de inyección de scripts también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 1.1.11, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32526 is a Stored Cross-Site Scripting (XSS) vulnerability in the VillaTheme Abandoned Cart Recovery for WooCommerce plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Abandoned Cart Recovery for WooCommerce versions prior to 1.1.11. Upgrade immediately to mitigate the risk.
Upgrade the plugin to version 1.1.11 or later. If upgrading is not possible, temporarily disable the plugin.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests it could be targeted.
Refer to the VillaTheme website and WooCommerce plugin repository for the latest security advisories and updates regarding CVE-2026-32526.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.