Vulnerabilidad en WP Accessibility (CVE-2026-2362)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
27/02/2026
Última modificación:
27/02/2026
Descripción
El plugin WP Accessibility para WordPress es vulnerable a cross-site scripting persistente basado en DOM a través del atributo 'alt' de las imágenes procesadas por la función "Long Description UI" en todas las versiones hasta la 2.3.1, inclusive. Esto se debe a que el JavaScript del plugin recupera el atributo alt usando getAttribute() y lo concatena de forma insegura en llamadas a innerHTML e insertAdjacentHTML sin una sanitización o escape adecuados. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. La explotación requiere que la configuración "Long Description UI" esté habilitada y establecida en "Link a description."
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-accessibility/tags/2.3.1/js/wp-accessibility.js#L713
- https://plugins.trac.wordpress.org/browser/wp-accessibility/tags/2.3.1/js/wp-accessibility.js#L807
- https://plugins.trac.wordpress.org/browser/wp-accessibility/trunk/js/wp-accessibility.js#L713
- https://plugins.trac.wordpress.org/browser/wp-accessibility/trunk/js/wp-accessibility.js#L807
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3464593%40wp-accessibility/trunk&old=3446333%40wp-accessibility/trunk
- https://www.wordfence.com/threat-intel/vulnerabilities/id/b08284ad-717f-4bdb-8eaa-f44e9447ff25?source=cve