Un nuevo aviso de seguridad
Cross-Site Scripting reflejado en la aplicación web de Wix
Aplicación web de Wix.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a la aplicación web de Wix, plataforma para crear sitios web. La vulnerabilidad ha sido descubierta por Miguel Jiménez Cámara.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-2276: CVSS v4.0: 6.1 | CVSS /AV:N/AC:L/AT:N/PR:L/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2026-2276: vulnerabilidad Cross-Site Scripting reflejado (XSS) en la aplicación web de Wix, donde el endpoint 'https://manage.wix.com/account/account-settings', encargado de la subida de imágenes SVG no realiza una sanitización adecuada del contenido. Un atacante autenticado podría subir un archivo SVG que contenga código JavaScript embebido, el cual se almacena y se ejecuta posteriormente cuando otros usuarios visualizan la imagen. La explotación de esta vulnerabilidad permite la ejecución de código arbitrario en el contexto del navegador de la víctima, lo que podría derivar en la divulgación de información sensible o el abuso de la sesión del usuario afectado.