Plataforma
wordpress
Componente
prismatic
Corregido en
3.7.4
3.7.4
El plugin Prismatic para WordPress presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenado. Esta falla permite a atacantes inyectar scripts maliciosos en páginas web, que se ejecutarán al ser visitadas por otros usuarios. La vulnerabilidad afecta a todas las versiones del plugin hasta la 3.7.3 y se ha publicado el parche 3.7.4.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del pseudo-shortcode 'prismatic_encoded' en comentarios o cualquier otro campo de entrada del plugin. Cuando un usuario visita la página que contiene este código inyectado, el script se ejecuta en el contexto del navegador del usuario, permitiendo al atacante robar cookies, redirigir al usuario a sitios maliciosos, o modificar el contenido de la página. La severidad de este ataque depende de los permisos del usuario afectado y la sensibilidad de la información a la que tiene acceso. La inyección de scripts puede comprometer la seguridad de todo el sitio web WordPress.
Esta vulnerabilidad fue publicada el 16 de abril de 2026. No se ha reportado explotación activa a la fecha, pero la naturaleza de XSS hace que sea un objetivo atractivo para atacantes. La vulnerabilidad no figura en el KEV de CISA ni se han publicado pruebas de concepto (PoC) públicas, lo que sugiere un riesgo moderado a corto plazo, pero la falta de mitigación podría cambiar esto.
Websites using the Prismatic WordPress plugin, especially those with public comment sections or forums, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are particularly vulnerable, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'prismatic_encoded' /var/www/html/wp-content/plugins/prismatic/• wordpress / composer / npm:
wp plugin list | grep prismatic• wordpress / composer / npm:
wp plugin update prismatic• generic web: Inspect comment fields for suspicious shortcode usage, particularly those containing encoded characters.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Prismatic a la versión 3.7.4 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el plugin o restringir el acceso a las páginas donde se utiliza el pseudo-shortcode 'prismatic_encoded'. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan el pseudo-shortcode sospechoso. Monitorear los logs del servidor en busca de patrones de inyección de código JavaScript también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 3.7.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3876 is a Stored XSS vulnerability in the Prismatic WordPress plugin, allowing attackers to inject malicious scripts via the 'prismatic_encoded' shortcode.
You are affected if you are using Prismatic WordPress plugin versions prior to 3.7.4. Check your plugin version and upgrade immediately.
Upgrade the Prismatic WordPress plugin to version 3.7.4 or later. If immediate upgrade is not possible, disable the plugin as a temporary workaround.
There are currently no known active campaigns exploiting CVE-2026-3876, but prompt remediation is still recommended.
Refer to the Prismatic plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.