WBase de Datos de Vulnerabilidades de WordPress

Aviso de Seguridad de Hong Kong myCred XSS(CVE20260550)

Cross Site Scripting (XSS) en el plugin myCred de WordPress
0
Compartidos
0
0
0
0
Nombre del plugin myCred
Tipo de vulnerabilidad Scripting entre sitios (XSS)
Número CVE CVE-2026-0550
Urgencia Baja
Fecha de publicación de CVE 2026-02-15
URL de origen CVE-2026-0550

Urgente: myCred XSS almacenado (CVE-2026-0550) — Lo que los propietarios de sitios de WordPress deben hacer ahora

Fecha: 13 de febrero de 2026
Autor: Experto en seguridad de Hong Kong

Resumen

Se divulgó una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que afecta al plugin myCred de WordPress (versiones ≤ 2.9.7.3) y se le asignó CVE-2026-0550. Un usuario autenticado con privilegios de Contribuidor (o superiores) puede inyectar una carga maliciosa persistente que luego se renderiza en el front end a través de mycred_load_coupon shortcode. El problema se solucionó en myCred 2.9.7.4. Este aviso explica el riesgo técnico, las posibles rutas de explotación, las estrategias de detección y la remediación paso a paso — incluyendo opciones de endurecimiento inmediato y parches virtuales.

Si myCred está instalado en alguno de sus sitios de WordPress, lea esto completamente y actúe ahora.

Datos rápidos

  • Plugin afectado: myCred (WordPress)
  • Versiones vulnerables: ≤ 2.9.7.3
  • Versión corregida: 2.9.7.4
  • Tipo de vulnerabilidad: Cross-Site Scripting almacenado (XSS)
  • Privilegio requerido para explotar: Contribuyente (autenticado)
  • CVE: CVE-2026-0550
  • Severidad estimada: Media / CVSS 6.5 (se requiere usuario autenticado, pero XSS persistente)
  • Impacto de explotación: Scripts proporcionados por el atacante ejecutados en los navegadores de los visitantes — posible toma de control de cuentas, inyección de contenido, phishing, redirecciones y exploits del lado del cliente
  • Mitigación inmediata: Actualice el plugin; si no es posible una actualización inmediata, aplique parches virtuales a través de reglas WAF y restrinja las capacidades de contribuidor

Lo que sucedió — en lenguaje sencillo

myCred expone un shortcode (mycred_load_coupon) que muestra contenido de cupones. En versiones vulnerables, los datos que los Contribuidores pueden crear no se sanitizan/escapan adecuadamente antes de ser almacenados o mostrados. Un Contribuidor malicioso podría agregar marcado o JavaScript en los campos de cupones que el shortcode luego muestra sin cambios en las páginas. Dado que la carga se almacena en la base de datos y se renderiza cuando los visitantes ven la salida del shortcode, esto es XSS almacenado — una vulnerabilidad persistente del lado del cliente.

El XSS almacenado es particularmente peligroso porque el contenido malicioso persiste y puede afectar a muchos visitantes a lo largo del tiempo, incluidos administradores y editores que ven la página afectada en el panel de control o en el front end.

Por qué esto es importante para ti

  1. Los Contribuidores son comunes: Muchos sitios permiten a contribuyentes externos, autores invitados, afiliados o usuarios de bajo privilegio crear contenido. Si permite ese rol, su riesgo aumenta.
  2. El XSS almacenado puede afectar a usuarios de confianza: Los administradores y editores que ven la página podrían tener cookies o tokens de sesión expuestos si un atacante elabora una carga de exfiltración.
  3. Daño a SEO y reputación: Scripts maliciosos pueden inyectar spam SEO, redirigir a los visitantes a páginas de malware/phishing, o mostrar anuncios no deseados.
  4. Escalación lateral: Los atacantes pueden usar XSS para escalar privilegios a través del robo de sesión, CSRF o ingeniería social de usuarios privilegiados.

Escenario de explotación: lo que haría un atacante

  • El atacante registra o utiliza una cuenta de Contribuyente existente.
  • Crean o editan un cupón e incrustan una carga útil (por ejemplo,