Vulnerabilidad en web application de Wix (CVE-2026-2276)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

12/02/2026

Última modificación:

12/02/2026

Descripción

Vulnerabilidad de cross-site scripting (XSS) reflejada en la aplicación web de Wix, donde el endpoint &#39; https://manage.wix.com/account/account-settings &#39;, responsable de la carga de imágenes SVG, no sanitiza correctamente el contenido. Un atacante autenticado podría cargar un archivo SVG que contiene código JavaScript incrustado, que se almacena y se ejecuta posteriormente cuando otros usuarios ven la imagen. La explotación de esta vulnerabilidad permite que se ejecute código arbitrario en el contexto del navegador de la víctima, lo que podría llevar a la divulgación de información sensible o al abuso de la sesión del usuario afectado.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.30

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.incibe.es/en/incibe-cert/notices/aviso/reflected-cross-site-scripting-wix-web-application