Urgente: CVE-2026-1923 — XSS almacenado autenticado de suscriptor en Cohete Social (≤ 1.3.4.2) — Lo que los propietarios de sitios de WordPress deben hacer ahora

Fecha: 2026-04-23
Autor: Experto en seguridad de Hong Kong

Resumen rápido: Un problema de Cross‑Site Scripting (XSS) almacenado que afecta a las versiones de Cohete Social ≤ 1.3.4.2 (CVE‑2026‑1923) permite a un usuario autenticado con privilegios de suscriptor inyectar una carga útil a través del parámetro id del plugin, que se persiste y se renderiza de manera insegura más tarde. El problema se corrige en 1.3.5. Si no puede actualizar de inmediato, siga las mitigaciones a continuación para bloquear ataques y limpiar sitios afectados.

Por qué esto es importante (lenguaje sencillo)

El XSS almacenado es particularmente peligroso cuando la entrada no confiable se guarda en la base de datos y se renderiza más tarde en páginas vistas por usuarios con privilegios más altos (como administradores). Puntos clave:

• Un atacante solo necesita una cuenta autenticada con el rol de suscriptor para enviar la carga útil.
• La carga útil es persistida por el plugin y se ejecuta en el contexto del navegador de los usuarios que ven los datos almacenados.
• Las consecuencias incluyen robo de cookies, escalada de privilegios al estilo CSRF, inyección de puertas traseras y carga de recursos maliciosos adicionales.

Debido a que muchos sitios permiten registros o tienen cuentas de suscriptores inactivas, el riesgo práctico es alto a pesar de una calificación CVSS de “Medio”. Las campañas de explotación automatizadas y masivas suelen dirigirse a vulnerabilidades similares.

Resumen técnico (lo que informaron los investigadores)

• Tipo de vulnerabilidad: Cross‑Site Scripting (XSS) Almacenado
• Componente afectado: plugin Cohete Social para WordPress
• Versiones afectadas: ≤ 1.3.4.2
• Corregido en: 1.3.5
• ID de CVE: CVE‑2026‑1923
• Privilegio requerido: Suscriptor (autenticado)
• CVSS (según lo informado): 6.5 (Media)
• Detalles de explotación: El plugin acepta un id parámetro que se guarda en la base de datos y se ecoa más tarde sin el escape adecuado. Un atacante con una cuenta de suscriptor puede enviar HTML/JS que se ejecuta cuando los usuarios o visitantes con privilegios más altos ven el contenido.

Nota: Los nombres de los puntos finales y las columnas de almacenamiento pueden variar según la versión del plugin; el problema crítico es que el id parámetro se persiste y se renderiza más tarde sin una sanitización/escape adecuado.

Escenarios típicos de explotación

1. El atacante crea o compromete una cuenta de suscriptor en el sitio objetivo.
2. El atacante encuentra una característica del plugin que acepta un id parámetro (por ejemplo, configuración del botón de compartir, entrada de la interfaz del plugin o punto final de AJAX).
3. El atacante inyecta una carga útil de script ( o controladores de eventos sigilosos) en ese parámetro; el plugin lo almacena.
4. Cuando un administrador o visitante ve la página donde se renderiza el contenido, la carga útil se ejecuta en el navegador de ese usuario.
5. Resultados potenciales: robo de cookies, falsificación de solicitudes autenticadas, redirecciones, instalación de puertas traseras a nivel de administrador a través de JS que utiliza sesiones autenticadas, o desfiguración persistente.

Impacto y por qué debes actuar rápidamente

• Toma de control administrativa: Los administradores que ven contenido almacenado pueden estar sujetos a JS que realiza acciones privilegiadas.
• Desfiguración persistente y distribución de malware: Los scripts inyectados pueden modificar páginas públicas o servir malware.
• Envenenamiento de SEO: Los enlaces de spam y el contenido encubierto dañan las clasificaciones de búsqueda.
• Reputación y cumplimiento: Los sitios que sirven malware corren el riesgo de ser incluidos en listas negras y de exposición legal si se ve afectada la información del usuario.

Incluso los sitios de bajo tráfico pueden ser atacados en masa. Aplica correcciones y mitigaciones ahora.

Lista de verificación de prioridad inmediata (primeros 60–120 minutos)

1. Identifica si Social Rocket está instalado y su versión:
   • Panel de control → Plugins → localiza Social Rocket y anota la versión.
   • O a través de WP‑CLI: wp plugin list --status=active | grep social-rocket
2. Si se confirma que es vulnerable (≤ 1.3.4.2), actualiza a 1.3.5 inmediatamente si está disponible.
3. Si no puedes actualizar de inmediato, desactiva el plugin para contener el riesgo:
   • Admin: Plugins → Desactivar Social Rocket.
   • WP‑CLI: wp plugin desactivar social-rocket
4. Revisa la actividad reciente de la cuenta (últimos 30–90 días) en busca de cuentas de Suscriptores sospechosas; suspende o restablece las contraseñas de aquellas que no puedas verificar.
5. Ejecuta un escaneo de malware utilizando tu escáner elegido y busca ', '', 'gi')'
6. Search and clean wp_options and wp_posts similarly.
7. If admin accounts may be compromised, rotate all admin passwords and invalidate sessions (changing auth salts in wp-config.php will invalidate sessions site‑wide).
8. Inspect uploads and plugin/theme directories for webshells or unexpected PHP files.
9. Rescan and manually verify critical pages after cleanup.
10. If the incident is complex, engage professional forensic support.

function wpf_restrict_subscriber_caps() {
    $role = get_role('subscriber');
    if ( ! $role ) {
        return;
    }
    // Remove dangerous capabilities if present
    $caps_to_remove = array(
        'edit_posts',
        'upload_files',
        'edit_pages',
        'publish_posts',
    );
    foreach ( $caps_to_remove as $cap ) {
        if ( $role->has_cap( $cap ) ) {
            $role->remove_cap( $cap );
        }
    }
}
add_action( 'init', 'wpf_restrict_subscriber_caps' );

$args = array(
  'post_type' => 'any',
  's' => ' -1,
);

$query = new WP_Query( $args );
if ( $query->have_posts() ) {
  while ( $query->have_posts() ) {
    $query->the_post();
    printf( "ID: %d — %s
", get_the_ID(), get_the_title() );
  }
}
wp_reset_postdata();