CVE-2026-6962: XSS en Cost of Goods para WooCommerce
Plataforma
wordpress
Componente
cost-of-goods-for-woocommerce
Corregido en
4.1.1
La vulnerabilidad CVE-2026-6962 es una falla de Cross-Site Scripting (XSS) almacenado presente en el plugin Cost of Goods: Product Cost & Profit Calculator para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con privilegios de colaborador o superiores, inyectar scripts web maliciosos. Afecta a las versiones desde 0.0.0 hasta la 4.1.0, y se ha solucionado en la versión 4.1.1, publicada el 13 de mayo de 2026.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede inyectar código JavaScript malicioso en páginas web a través de los shortcodes 'algwccogproductcost' y 'algwccogproductprofit'. Este código se ejecutará en el navegador de cualquier usuario que acceda a la página comprometida. El impacto puede variar desde el robo de cookies de sesión y la redirección a sitios web maliciosos, hasta la modificación del contenido de la página y la ejecución de acciones en nombre del usuario. La severidad de la vulnerabilidad reside en la posibilidad de comprometer la integridad y confidencialidad de los datos del usuario y la plataforma WordPress.
Contexto de Explotación
La vulnerabilidad CVE-2026-6962 ha sido publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación y acceso de colaborador o superior. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la vulnerabilidad en un plugin popular de WooCommerce la convierte en un objetivo potencial. Se recomienda monitorear los registros del servidor y las aplicaciones en busca de actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2026-6962 es actualizar el plugin Cost of Goods: Product Cost & Profit Calculator a la versión 4.1.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar las peticiones que contengan código malicioso en los shortcodes afectados. Además, revise los permisos de usuario en WordPress para asegurar que solo los usuarios necesarios tengan privilegios de colaborador o superiores. Después de la actualización, verifique que los shortcodes afectados no permitan la ejecución de scripts no deseados.
Cómo corregirlo
Actualizar a la versión 4.1.1, o una versión parcheada más reciente
Preguntas frecuentes
¿Qué es CVE-2026-6962 — XSS en Cost of Goods para WooCommerce?
CVE-2026-6962 es una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Cost of Goods para WooCommerce, que permite a atacantes autenticados inyectar scripts maliciosos en páginas web.
¿Am I affected by CVE-2026-6962 en Cost of Goods para WooCommerce?
Si está utilizando el plugin Cost of Goods para WooCommerce en una versión anterior a 4.1.1, es vulnerable a esta vulnerabilidad. Verifique la versión instalada en su sitio web.
¿Cómo puedo fix CVE-2026-6962 en Cost of Goods para WooCommerce?
La solución es actualizar el plugin Cost of Goods para WooCommerce a la versión 4.1.1 o superior. Realice una copia de seguridad antes de actualizar.
¿Is CVE-2026-6962 being actively exploited?
A la fecha, no se han reportado campañas de explotación activas, pero la vulnerabilidad es un objetivo potencial debido a su presencia en un plugin popular.
¿Where can I find the official Cost of Goods advisory for CVE-2026-6962?
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener la información oficial y las notas de la versión de la actualización.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...