Plataforma
wordpress
Componente
oopspam-anti-spam
Corregido en
1.2.63
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el componente OOPSpam Anti-Spam. Esta falla permite a atacantes inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a las versiones de OOPSpam Anti-Spam anteriores o iguales a 1.2.62, y ha sido solucionada en la versión 1.2.63.
La vulnerabilidad XSS almacenada en OOPSpam Anti-Spam permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web, o incluso el acceso a información confidencial. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de un administrador, permitiéndole tomar control del sitio web. La severidad de este ataque depende del nivel de acceso que tenga el atacante una vez que haya comprometido la sesión de un usuario.
La vulnerabilidad CVE-2026-32544 fue publicada el 25 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS hace que sea una vulnerabilidad de alta prioridad. La falta de una versión fija anterior a la publicación implica que la investigación fue reciente. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar posibles exploits.
WordPress websites utilizing the OOPSpam Anti-Spam plugin, particularly those running versions prior to 1.2.63, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to lateral movement to others.
• wordpress / composer / npm:
grep -r 'oopspam-anti-spam' /var/www/html/wp-content/plugins/
wp plugin list | grep oopspam-anti-spam• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/oopspam-anti-spam/ | grep X-Powered-Bydisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar OOPSpam Anti-Spam a la versión 1.2.63 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario y el escaping adecuado de la salida. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Monitorear los logs del servidor en busca de intentos de inyección de código malicioso también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 1.2.63, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32544 is a Stored Cross-Site Scripting (XSS) vulnerability affecting OOPSpam Anti-Spam versions up to 1.2.62, allowing attackers to inject malicious scripts.
You are affected if you are using OOPSpam Anti-Spam versions prior to 1.2.63. Check your plugin version and upgrade immediately if necessary.
Upgrade OOPSpam Anti-Spam to version 1.2.63 or later. Consider implementing input validation and output encoding as an additional precaution.
No active exploitation has been publicly reported, but the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the OOPSpam Anti-Spam website or WordPress plugin repository for the official advisory and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.