Vulnerabilidad en Email Customizer para WooCommerce (CVE-2025-13974)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/01/2026
Última modificación:
15/04/2026
Descripción
El plugin Email Customizer para WooCommerce para WordPress es vulnerable a cross-site scripting almacenado a través del contenido de las plantillas de correo electrónico en todas las versiones hasta e incluyendo la 2.6.7, debido a una sanitización insuficiente de la entrada y un escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel de administrador, inyectar scripts web arbitrarios en las plantillas de correo electrónico que se ejecutarán cuando los clientes vean los correos electrónicos transaccionales. Esto solo afecta a las instalaciones multisitio y a las instalaciones donde se ha deshabilitado unfiltered_html.
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/email-customizer-for-woocommerce/tags/2.6.7/classes/inc/class-wecmf-general-template.php#L213
- https://plugins.trac.wordpress.org/browser/email-customizer-for-woocommerce/trunk/classes/inc/class-wecmf-general-template.php#L213
- https://plugins.trac.wordpress.org/changeset/3455187/#file6
- https://www.wordfence.com/threat-intel/vulnerabilities/id/c6927b4f-f47e-47fc-a5bf-b7fa42c31412?source=cve