Plataforma
wordpress
Componente
worker
Corregido en
4.9.32
El plugin ManageWP Worker para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado en versiones hasta la 4.9.31. Esta vulnerabilidad se debe a una sanitización insuficiente de la entrada y el escape de la salida, lo que permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas. La ejecución de estos scripts ocurre cada vez que un usuario accede a una página inyectada, comprometiendo la seguridad del sitio.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en páginas del sitio WordPress que utilizan el plugin ManageWP Worker. Este código puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido del sitio web. El impacto puede ser significativo, ya que los scripts se ejecutan en el contexto del usuario, lo que permite al atacante acceder a información sensible o realizar acciones en nombre del usuario. La vulnerabilidad afecta a todos los usuarios que visiten las páginas comprometidas, lo que amplía el radio de explosión.
Esta vulnerabilidad fue publicada el 13 de abril de 2026. No se han reportado casos de explotación activa a la fecha. No se encuentra en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the ManageWP Worker plugin, particularly those running versions 4.9.31 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites heavily reliant on user-generated content within the ManageWP Worker plugin are also more vulnerable.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/managewp-worker/• wordpress / composer / npm:
wp plugin list --status=active | grep managewp-worker• wordpress / composer / npm:
wp plugin update managewp-worker --alldisclosure
patch
Estado del Exploit
Vector CVSS
La mitigación principal es actualizar el plugin ManageWP Worker a la versión 4.9.32 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario y el escape adecuado de la salida. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de código JavaScript. Verifique la integridad de los archivos del plugin para detectar modificaciones no autorizadas.
Actualizar a la versión 4.9.32, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39463 is a Stored Cross-Site Scripting (XSS) vulnerability in the ManageWP Worker WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using ManageWP Worker plugin versions 4.9.31 or earlier. Upgrade to 4.9.32 to resolve the issue.
Upgrade the ManageWP Worker plugin to version 4.9.32 or later. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
While no public exploits are currently known, the ease of exploitation for XSS vulnerabilities suggests a potential risk of exploitation.
Refer to the ManageWP website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.