| Nombre del plugin | PixelYourSite PRO |
|---|---|
| Tipo de vulnerabilidad | Scripting entre sitios (XSS) |
| Número CVE | CVE-2026-1844 |
| Urgencia | Medio |
| Fecha de publicación de CVE | 2026-03-14 |
| URL de origen | CVE-2026-1844 |
XSS almacenado no autenticado en PixelYourSite PRO (<= 12.4.0.2) — Lo que significa para su sitio de WordPress y cómo protegerlo
Autor: Experto en seguridad de Hong Kong | Fecha: 2026-03-12
Se ha divulgado una vulnerabilidad que afecta a las versiones de PixelYourSite PRO hasta e incluyendo 12.4.0.2: un problema de Cross‑Site Scripting (XSS) almacenado no autenticado (CVE-2026-1844). El proveedor del plugin lanzó la versión 12.4.0.3 para abordar el problema. El XSS almacenado que puede ser activado sin autenticación amplía el alcance del atacante y debe ser tratado con urgencia por los propietarios y administradores del sitio.
Este artículo explica qué es la vulnerabilidad, cómo un atacante podría explotarla, el impacto probable, los pasos de detección, las mitigaciones inmediatas y el endurecimiento a largo plazo. Si utiliza PixelYourSite PRO, actualice a la versión 12.4.0.3 o posterior como su primera y principal acción.
Resumen ejecutivo (lo que cada propietario de sitio debería hacer ahora mismo)
- Actualice inmediatamente PixelYourSite PRO a la versión 12.4.0.3 o posterior.
- Si no puede actualizar de inmediato, implemente parches virtuales o reglas de WAF para bloquear las cargas útiles de explotación y las solicitudes a los puntos finales vulnerables.
- Escanee el sitio en busca de scripts inyectados y signos de compromiso (malicioso
