Vulnerabilidad en Press3D de Arieslab (CVE-2026-1985)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/02/2026
Última modificación:
18/02/2026
Descripción
El plugin Press3D para WordPress es vulnerable a cross-site scripting almacenado a través del bloque Gutenberg de Modelo 3D en todas las versiones hasta la 1.0.2, inclusive. Esto se debe a que el plugin no sanitiza ni valida el esquema de URL al almacenar las URL de enlace para los bloques de modelo 3D, permitiendo URL 'javascript:'. Esto hace posible que atacantes autenticados, con acceso de nivel de Autor y superior, inyecten scripts web arbitrarios en las páginas a través del parámetro de URL de enlace que se ejecutarán cada vez que un usuario haga clic en el modelo 3D.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://cwe.mitre.org/data/definitions/79.html
- https://developer.wordpress.org/reference/functions/esc_url/
- https://plugins.trac.wordpress.org/browser/press3d/tags/1.0.2/press3d.php#L1
- https://plugins.trac.wordpress.org/browser/press3d/trunk/press3d.php#L1
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e153bb3d-e175-48bd-894c-7ccb8f09fec4?source=cve