Plataforma
wordpress
Componente
wc-product-table-lite
Corregido en
4.6.4
El plugin Product Table and List Builder for WooCommerce Lite para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado. Esta vulnerabilidad, presente en versiones hasta la 4.6.3, se debe a una sanitización y escape de salida insuficientes de las entradas del usuario. La explotación exitosa permite a atacantes no autenticados inyectar scripts web maliciosos que se ejecutarán al acceder los usuarios a las páginas afectadas.
Un atacante puede aprovechar esta vulnerabilidad para inyectar código JavaScript malicioso en las páginas del sitio web de WooCommerce. Este código puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página. El impacto puede ser significativo, ya que permite la ejecución de código arbitrario en el contexto del navegador del usuario, comprometiendo potencialmente la confidencialidad e integridad de la información. La falta de autenticación requerida para la explotación amplía el alcance del riesgo, afectando a todos los visitantes del sitio web.
Esta vulnerabilidad fue publicada el 7 de abril de 2026. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza de XSS la convierte en un objetivo atractivo para atacantes. La falta de autenticación necesaria para la explotación aumenta la probabilidad de que sea explotada. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
E-commerce websites utilizing the Product Table and List Builder for WooCommerce Lite plugin, particularly those running older versions (≤4.6.3), are at significant risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r '<script>' /var/www/wordpress/wp-content/plugins/product-table-and-list-builder-for-woocommerce-lite/• wordpress / composer / npm:
wp plugin list --status=active | grep 'product-table-and-list-builder-for-woocommerce-lite'• wordpress / composer / npm:
wp plugin update product-table-and-list-builder-for-woocommerce-lite• generic web: Inspect product table pages for unexpected JavaScript behavior or alerts.
disclosure
Estado del Exploit
Vector CVSS
La solución principal es actualizar el plugin Product Table and List Builder for WooCommerce Lite a la versión 4.6.4 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales, como la aplicación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que contengan código JavaScript malicioso. Además, se debe revisar cuidadosamente el código fuente del plugin en busca de posibles puntos de entrada vulnerables y aplicar sanitización y escape de salida adecuados a todas las entradas del usuario.
Actualizar a la versión 4.6.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34902 is a Stored Cross-Site Scripting (XSS) vulnerability in the Product Table and List Builder for WooCommerce Lite plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Product Table and List Builder for WooCommerce Lite version 4.6.3 or earlier. Upgrade to 4.6.4 to mitigate the risk.
Upgrade the plugin to version 4.6.4 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.