Plataforma
wordpress
Componente
instagram-slider-widget
Corregido en
2.3.3
El plugin Social Slider Feed para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado en versiones hasta la 2.3.2, debido a una sanitización y escape de salida insuficientes. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas. La ejecución de estos scripts ocurre cada vez que un usuario accede a la página inyectada, comprometiendo la seguridad del sitio web. La versión 2.3.3 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en las páginas del sitio web WordPress que utilizan el plugin Social Slider Feed. Este código puede ser utilizado para robar cookies de sesión de los usuarios, redirigirlos a sitios web maliciosos, o incluso modificar el contenido de la página. El impacto puede ser significativo, incluyendo el robo de información confidencial, la manipulación de la experiencia del usuario y la posible toma de control del sitio web. La falta de autenticación requerida para la inyección aumenta el riesgo de explotación generalizada.
Esta vulnerabilidad fue publicada el 16 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. La ausencia de un PoC público no disminuye el riesgo, ya que la explotación de XSS es relativamente sencilla. Se recomienda monitorear activamente los sistemas afectados.
Websites using the Social Slider Feed plugin, particularly those running older versions (≤2.3.2), are at risk. Shared hosting environments where multiple websites share the same server infrastructure are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/social-slider-feed/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'social-slider-feed'• wordpress / composer / npm:
wp plugin update social-slider-feed --all• generic web: Check for unusual JavaScript behavior or unexpected redirects on pages utilizing the Social Slider Feed plugin.
disclosure
Estado del Exploit
Vector CVSS
La mitigación principal es actualizar el plugin Social Slider Feed a la versión 2.3.3 o superior. Si la actualización no es inmediatamente posible, considere deshabilitar temporalmente el plugin hasta que se pueda aplicar la actualización. Como medida adicional, implemente reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Revise los registros de acceso y error del servidor en busca de intentos de inyección de XSS.
Actualizar a la versión 2.3.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39507 is a Stored Cross-Site Scripting (XSS) vulnerability affecting the Social Slider Feed plugin for WordPress versions up to 2.3.2, allowing attackers to inject malicious scripts.
You are affected if you are using the Social Slider Feed plugin version 2.3.2 or earlier. Upgrade to 2.3.3 or later to mitigate the risk.
Upgrade the Social Slider Feed plugin to version 2.3.3 or later. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There are currently no known public exploits or active campaigns targeting this vulnerability, but exploitation is possible.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.