Vulnerabilidad en xmlrpc attacks blocker (CVE-2026-2502)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/02/2026
Última modificación:
19/02/2026
Descripción
El plugin xmlrpc attacks blocker para WordPress es vulnerable a cross-site scripting almacenado en versiones hasta la 1.0, inclusive, a través del encabezado HTTP 'X-Forwarded-For'. Esto se debe a que el plugin confía y registra datos de encabezado IP controlados por el atacante y renderiza entradas del registro de depuración sin escape de salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios que se ejecutan cuando un administrador ve la página del registro de depuración.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/xmlrpc-attacks-blocker/tags/1.0/plugin.php#L186
- https://plugins.trac.wordpress.org/browser/xmlrpc-attacks-blocker/tags/1.0/plugin.php#L269
- https://plugins.trac.wordpress.org/browser/xmlrpc-attacks-blocker/tags/1.0/plugin.php#L312
- https://plugins.trac.wordpress.org/browser/xmlrpc-attacks-blocker/tags/1.0/plugin.php#L341
- https://www.wordfence.com/threat-intel/vulnerabilities/id/059f0c64-efcc-4b79-81eb-b4ae9e3e2826?source=cve