Plataforma
wordpress
Componente
otm-accessibly
Corregido en
3.0.4
3.0.4
La vulnerabilidad CVE-2026-3643 es una falla de Cross-Site Scripting (XSS) almacenada que afecta al plugin Accessibly para WordPress. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través de la API REST, comprometiendo la seguridad del sitio web. Afecta a todas las versiones del plugin hasta la 3.0.3 inclusive. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en las páginas web gestionadas por WordPress. Este código puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. La falta de autenticación en los endpoints de la API REST /otm-ac/v1/update-widget-options y /otm-ac/v1/update-app-config facilita la explotación, ya que cualquier usuario puede enviar datos maliciosos sin necesidad de credenciales. La persistencia de los datos en la tabla de opciones de WordPress amplifica el impacto, ya que el script malicioso puede afectar a todos los usuarios que visiten la página web.
Esta vulnerabilidad fue publicada el 14 de abril de 2026. No se ha reportado explotación activa a la fecha. No se encuentra listada en el KEV de CISA. La falta de autenticación en los endpoints de la API REST es un patrón común en vulnerabilidades XSS y facilita la explotación, similar a otras vulnerabilidades encontradas en plugins de WordPress.
Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.
• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/• wordpress / composer / npm:
wp plugin list --status=active | grep accessibly• wordpress / composer / npm:
wp plugin update accessibly --alldisclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Accessibly a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales. Se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes a los endpoints vulnerables /otm-ac/v1/update-widget-options y /otm-ac/v1/update-app-config. Además, se debe revisar y endurecer la configuración del plugin, limitando el acceso a las opciones de configuración y validando la entrada de datos. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de explotación.
No se dispone de un parche conocido. Revise a fondo los detalles de la vulnerabilidad y aplique mitigaciones en función del nivel de tolerancia al riesgo de su organización. Es posible que sea mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3643 is a stored Cross-Site Scripting (XSS) vulnerability in the Accessibly WordPress plugin, allowing attackers to inject malicious scripts via unprotected REST API endpoints.
You are affected if you are using the Accessibly plugin in versions 3.0.3 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Accessibly plugin to a version higher than 3.0.3. As a temporary measure, disable the plugin or restrict access to the vulnerable REST API endpoints.
While no public exploits have been released, the lack of authentication makes it a likely target for exploitation.
Refer to the Accessibly plugin's official website or WordPress plugin repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.