Plataforma
wordpress
Componente
lead-form-builder
Corregido en
2.0.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Contact Form & Lead Form Elementor Builder de ThemeHunk. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios. Afecta a las versiones del plugin hasta la 2.0.1, y se recomienda actualizar a la versión 2.0.2 para solucionar el problema.
La vulnerabilidad XSS almacenado permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, defacement del sitio web, o incluso la ejecución de acciones en nombre del usuario afectado. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de los usuarios que completan el formulario de contacto, o redirigirlos a una página de phishing que imite la apariencia del sitio web legítimo. La gravedad de este impacto se agrava si el sitio web es utilizado para transacciones sensibles o contiene información confidencial.
Esta vulnerabilidad fue publicada el 2026-03-25. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. Sin embargo, dada la naturaleza de XSS, es probable que se desarrollen exploits públicos en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Websites utilizing the Contact Form & Lead Form Elementor Builder plugin, particularly those running older versions (prior to 2.0.2), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions. Sites heavily reliant on contact forms for lead generation are particularly vulnerable.
• wordpress / composer / npm:
grep -r '<script>' /var/www/html/wp-content/plugins/lead-form-builder/*• generic web:
curl -I https://example.com/contact-form | grep -i content-type• wordpress / composer / npm:
wp plugin list --status=active | grep lead-form-builderdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Contact Form & Lead Form Elementor Builder a la versión 2.0.2 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los logs del servidor en busca de patrones de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualizar a la versión 2.0.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32532 is a Stored XSS vulnerability in the Contact Form & Lead Form Elementor Builder plugin for WordPress, allowing attackers to inject malicious scripts stored on the server.
You are affected if you are using Contact Form & Lead Form Elementor Builder versions prior to 2.0.2. Check your plugin version and update immediately.
Upgrade the plugin to version 2.0.2 or later. Consider a WAF rule to filter malicious input as an interim measure.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the ThemeHunk website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.