Plataforma
wordpress
Componente
injection-guard
Corregido en
1.2.10
El plugin Injection Guard para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenada. Esta falla permite a atacantes inyectar scripts maliciosos en el sitio web a través de nombres de parámetros de consulta no sanitizados. La vulnerabilidad afecta a las versiones 1.0.0 hasta la 1.2.9, y se ha solucionado en la versión 1.3.0.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en páginas web visitadas por usuarios de un sitio WordPress que utiliza el plugin Injection Guard. Esto podría resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página web. La inyección de scripts puede comprometer la integridad y confidencialidad de la información del usuario, así como la reputación del sitio web. La falta de sanitización adecuada de los nombres de los parámetros de consulta, combinada con la salida directa de estos valores en la plantilla ig_settings.php, facilita la explotación.
Esta vulnerabilidad fue publicada el 20 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la publicación. La vulnerabilidad se basa en una falla de sanitización de entrada, un patrón común en aplicaciones web, y la disponibilidad de un PoC podría facilitar su explotación.
Websites using the WordPress Injection Guard plugin in versions 1.0.0 through 1.2.9 are at risk. Shared hosting environments are particularly vulnerable, as they often have limited control over plugin updates and security configurations. Sites relying on the plugin for security hardening are at increased risk, as attackers may target these sites with greater confidence.
• wordpress / composer / npm:
grep -r "ig_settings.php" ./• wordpress / composer / npm:
wp plugin list --status=active | grep Injection Guard• wordpress / composer / npm:
wp plugin update --all• generic web: Inspect URL query parameters for unusual characters or patterns that might indicate an XSS attempt.
disclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Injection Guard a la versión 1.3.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización de todos los datos de entrada en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes con nombres de parámetros de consulta sospechosos. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuras vulnerabilidades.
Actualizar a la versión 1.3.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3368 is a stored Cross-Site Scripting (XSS) vulnerability in the WordPress Injection Guard plugin, allowing attackers to inject malicious scripts via query parameters.
You are affected if you are using the WordPress Injection Guard plugin in versions 1.0.0 through 1.2.9. Upgrade to 1.3.0 or later to mitigate the risk.
Upgrade the WordPress Injection Guard plugin to version 1.3.0 or later. Consider WAF rules as a temporary workaround.
No active exploitation campaigns have been confirmed, but the vulnerability's nature makes it a potential target.
Refer to the WordPress Plugin Directory and the Injection Guard plugin's official website for updates and advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.