| Nombre del plugin | Gestor de Logos para Enamad |
|---|---|
| Tipo de vulnerabilidad | Scripting entre sitios (XSS) |
| Número CVE | CVE-2026-6549 |
| Urgencia | Baja |
| Fecha de publicación de CVE | 2026-05-20 |
| URL de origen | CVE-2026-6549 |
XSS almacenado de contribuyente autenticado en Gestor de Logos para Enamad (<= 0.7.4) — Lo que los propietarios de sitios de WordPress deben hacer ahora
Fecha: 2026-05-19 | Autor: Experto en Seguridad de Hong Kong
TL;DR
Una vulnerabilidad de Cross-Site Scripting (XSS) almacenada (CVE-2026-6549) en el plugin de WordPress “Gestor de Logos para Enamad” (versiones ≤ 0.7.4) permite a un Contribuyente autenticado inyectar HTML/JavaScript que puede persistir y ejecutarse cuando usuarios con mayores privilegios ven los datos. CVSS: 6.5. Si este plugin está instalado, siga los pasos inmediatos de mitigación y remediación a continuación. Si no puede actualizar o eliminar el plugin de inmediato, considere el parcheo virtual en el perímetro.
Por qué esto es importante (explicación corta y práctica)
El XSS almacenado se abusa frecuentemente en sitios de WordPress. Impacto práctico de este problema:
- Un Contribuyente autenticado puede inyectar un script malicioso en los datos gestionados por el plugin (por ejemplo, campos de meta o descripción del logo).
- El script malicioso se almacena en la base de datos (XSS almacenado).
- Cuando un administrador, editor u otro usuario privilegiado ve el área infectada, el script se ejecuta en su navegador.
- Las consecuencias incluyen robo de sesión, solicitudes administrativas falsificadas, creación de puertas traseras o compromiso más amplio del sitio.
Muchos sitios permiten registros de contribuyentes o aceptan envíos de contribuyentes, lo que convierte esto en una amenaza realista a pesar de que el atacante inicial debe estar autenticado.
Datos clave
- Plugin afectado: Gestor de Logos para Enamad
- Versiones vulnerables: ≤ 0.7.4
- Tipo de vulnerabilidad: Cross-Site Scripting almacenado (XSS)
- Privilegio requerido: Contribuyente (autenticado)
- CVE: CVE-2026-6549
- Puntuación base CVSS: 6.5 (Media)
- Estado del parche: No hay parche oficial disponible en el momento de la divulgación pública
- Complejidad de explotación: Requiere interacción del usuario / vista de usuario privilegiado