Vulnerabilidad en rebelcode (CVE-2026-2433)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/03/2026
Última modificación:
22/04/2026
Descripción
El plugin RSS Aggregator – RSS Import, News Feeds, Feed to Post y Autoblogging para WordPress es vulnerable a cross-site scripting basado en DOM a través de postMessage en todas las versiones hasta la 5.0.11, inclusive. Esto se debe a que el archivo admin-shell.js del plugin registra un oyente de eventos de mensaje global sin validación de origen (falta la comprobación de event.origin) y pasa directamente URLs controladas por el usuario a window.open() sin validación del esquema de URL. Esto hace posible que atacantes no autenticados ejecuten JavaScript arbitrario en el contexto de la sesión de un administrador autenticado al engañarlos para que visiten un sitio web malicioso que envía cargas útiles postMessage manipuladas a la página de administración del plugin.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-rss-aggregator/tags/5.0.10/core/js/admin-shell.js#L153
- https://plugins.trac.wordpress.org/browser/wp-rss-aggregator/tags/5.0.10/core/js/admin-shell.js#L58
- https://plugins.trac.wordpress.org/browser/wp-rss-aggregator/trunk/core/js/admin-shell.js#L153
- https://plugins.trac.wordpress.org/browser/wp-rss-aggregator/trunk/core/js/admin-shell.js#L58
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3473511%40wp-rss-aggregator%2Ftrunk&old=3439393%40wp-rss-aggregator%2Ftrunk&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/311960e7-c4b4-4638-980f-1e08ffa621ba?source=cve