Plataforma
wordpress
Componente
molla
Corregido en
1.5.20
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en el tema Molla para WordPress. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web generadas por Molla, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a versiones anteriores a 1.5.19 y ha sido publicada el 25 de marzo de 2026. Se recomienda actualizar a la versión 1.5.19 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de parámetros en la URL o en otros campos de entrada. Cuando un usuario visita la página comprometida, el script se ejecuta en su navegador, permitiendo al atacante robar cookies, redirigir al usuario a sitios web maliciosos, o modificar el contenido de la página. El impacto puede variar desde el robo de información de sesión hasta la completa toma de control de la cuenta del usuario. La naturaleza reflejada de la XSS implica que el atacante necesita engañar al usuario para que visite una URL especialmente diseñada, pero el potencial de daño es significativo, especialmente en sitios con acceso a información sensible.
Esta vulnerabilidad ha sido publicada públicamente el 25 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un PoC público podría facilitar la explotación por parte de actores maliciosos, por lo que se recomienda aplicar las mitigaciones lo antes posible.
Websites using the Molla WordPress theme, particularly those with user input fields or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised Molla installation on one site could potentially impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/themes/molla/*• generic web:
curl -I https://example.com/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list --status=inactive | grep molladisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal es actualizar el tema Molla a la versión 1.5.19 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar validación y saneamiento de entrada en el código del tema para prevenir la inyección de scripts maliciosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Monitorear los logs del servidor en busca de patrones de inyección de código también puede ayudar a detectar intentos de explotación.
Actualizar a la versión 1.5.19 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32529 is a Reflected Cross-Site Scripting (XSS) vulnerability affecting Molla WordPress themes before version 1.5.19, allowing attackers to inject malicious scripts.
You are affected if you are using Molla WordPress theme versions prior to 1.5.19. Check your theme version and update immediately if necessary.
Upgrade the Molla WordPress theme to version 1.5.19 or later. Consider input validation and WAF rules as additional protection.
While no active exploitation campaigns have been confirmed, the vulnerability is likely to be targeted due to its ease of exploitation.
Refer to the official Molla theme documentation and WordPress plugin repository for updates and security advisories related to CVE-2026-32529.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.