Plataforma
wordpress
Componente
social-photo-feed-widget
Corregido en
1.7.10
La vulnerabilidad CVE-2026-5425 es una falla de Cross-Site Scripting (XSS) almacenado presente en el plugin Widgets for Social Photo Feed para WordPress. Esta vulnerabilidad permite a atacantes inyectar scripts web maliciosos en páginas que serán ejecutados al ser visitadas por otros usuarios. Afecta a todas las versiones del plugin desde 0.0.0 hasta la 1.7.9, y se ha solucionado en la versión 1.8.0.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del parámetro 'feed_data'. Este código se almacenará en la base de datos y se ejecutará en el navegador de cualquier usuario que acceda a la página afectada. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página. La falta de sanitización adecuada de la entrada y el escape de la salida son las causas principales de esta vulnerabilidad, permitiendo la ejecución de código arbitrario en el contexto del usuario.
El CVE-2026-5425 fue publicado el 4 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS almacenado implica un riesgo continuo. La probabilidad de explotación se considera media debido a la facilidad de inyección y el potencial impacto. Se recomienda monitorear los logs del servidor y las alertas de seguridad en WordPress para detectar posibles intentos de explotación.
Websites using the Widgets for Social Photo Feed plugin, particularly those with a large user base or that handle sensitive user data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially affect others.
• wordpress / composer / npm:
grep -r 'feed_data' /var/www/html/wp-content/plugins/widgets-for-social-photo-feed/• wordpress / composer / npm:
wp plugin list --status=active | grep 'widgets-for-social-photo-feed'• generic web: Check website pages for unusual JavaScript behavior or unexpected redirects. • generic web: Review WordPress error logs for suspicious activity related to the plugin.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Widgets for Social Photo Feed a la versión 1.8.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización exhaustivas de todas las entradas de usuario en el plugin. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de código. Verifique la actualización confirmando que la versión del plugin en WordPress es 1.8.0 o superior.
Actualizar a la versión 1.8.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5425 is a Stored XSS vulnerability in the Widgets for Social Photo Feed WordPress plugin, allowing attackers to inject malicious scripts.
If you are using Widgets for Social Photo Feed version 0.0.0 through 1.7.9, you are vulnerable. Upgrade to 1.8.0 or later.
Upgrade the Widgets for Social Photo Feed plugin to version 1.8.0 or later. Temporarily disable the plugin if upgrading is not immediately possible.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that it will be exploited. Monitor your website for suspicious activity.
Refer to the plugin developer's website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.