El CVE-2026-9644 WordPress es una vulnerabilidad de tipo Stored Cross-Site Scripting descubierta en el plugin LiveSmart Video Chat Live Video Chat, que afecta todas las versiones hasta la 1.2 inclusive. Un atacante autenticado con permisos de colaborador (contributor) puede inyectar scripts maliciosos vía el shortcode livesmart_widget, y esos scripts se ejecutan en el navegador de cualquier visitante que cargue la página afectada.
En 30 segundos
- Plugin afectado: LiveSmart Video Chat Live Video Chat, versiones ≤1.2
- Tipo: Stored XSS vía shortcode
livesmart_widget, sin sanitización de atributos - Quién puede atacar: cualquier usuario autenticado con rol contributor o superior
- CVSS 3.1: 6.1 (Medium), vector AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
- Solución: actualizar el plugin a una versión posterior a 1.2 o desinstalarlo si no lo usás activamente
Wordfence es un plugin de seguridad para WordPress desarrollado por Wordfence, Inc., que proporciona protección contra amenazas mediante firewall, escaneo de malware y monitoreo de vulnerabilidades. Detecta y bloquea actividad maliciosa en tiempo real.
¿Qué es el CVE-2026-9644?
CVE-2026-9644 es el identificador oficial asignado a una falla de seguridad en el plugin LiveSmart Video Chat Live Video Chat para WordPress. Según el reporte de Wordfence, la vulnerabilidad está clasificada como Stored Cross-Site Scripting (XSS almacenado) y tiene un puntaje CVSS 3.1 de 6.1, lo que la ubica en severidad media. Podés conocer más sobre cómo funciona Wordfence.
El vector completo es CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N. Traducido: acceso por red, complejidad baja, requiere privilegios bajos, no necesita interacción del usuario, tiene alcance modificado (scope changed). No es una falla crítica, pero tampoco es para ignorar.
Plugin afectado: LiveSmart Video Chat Live Video Chat
LiveSmart Video Chat Live Video Chat es un plugin para integrar videochat en tiempo real dentro de páginas y entradas de WordPress. Para mostrarlo en el contenido, el plugin expone el shortcode [livesmart_widget], que acepta atributos configurables por el usuario que lo inserta.
El problema está ahí: esos atributos no se sanean correctamente antes de renderizarse en el HTML. Cualquier usuario con rol contributor o superior puede crear una página, insertar el shortcode con un atributo malicioso, y el código queda guardado en la base de datos. El changeset en el repositorio oficial de WordPress confirma qué líneas específicas del plugin recibieron el parche.
Versiones vulnerables: todas hasta la 1.2 inclusive.
Stored XSS: la diferencia con un XSS común
Ponele que alguien te cuenta que un plugin tiene XSS. La primera pregunta que hay que hacerse es: ¿reflected o stored?
Un XSS reflejado requiere que la víctima haga clic en un link especialmente armado. Molesto, pero controlable. Un XSS almacenado (stored) persiste en la base de datos y se ejecuta automáticamente cada vez que alguien carga la página afectada. No necesitás convencer a nadie de hacer clic en nada. El script está ahí, esperando. Más contexto en mejores WAFs para proteger WordPress.
En este caso: un contributor crea una entrada con el shortcode malicioso, la publica, y a partir de ahí cualquier visitante del sitio ejecuta el código inyectado en su navegador. Si el shortcode termina en la página de inicio o en una entrada de alto tráfico, el impacto escala rápido.
Vector de ataque y qué puede hacer un atacante
El CVSS marca PR:L (privilegios requeridos: bajos). En WordPress eso se traduce directamente a rol contributor. Ese es el rol mínimo que puede crear y publicar contenido en algunos sitios, aunque en configuraciones más estrictas necesita aprobación de un editor.
Con acceso contributor y el plugin instalado, el atacante puede:
- Robar cookies de sesión de otros usuarios, incluyendo administradores que visiten la página
- Redirigir visitantes a sitios externos sin que se den cuenta
- Inyectar scripts que descargan malware o muestran formularios falsos de login
- Modificar el contenido visible de la página para usuarios que la carguen
El campo de impacto en confidencialidad e integridad es bajo (C:L, I:L) y no hay impacto en disponibilidad (A:N). Tampoco es wormable: alguien tiene que ejecutar el ataque, no se propaga solo. Eso baja el puntaje a 6.1 en vez de llegar a crítico.
¿Y qué pasa si el contributor con acceso al shortcode es el propio atacante que se registró con esa intención? Exacto: esa es la cadena de ataque más realista, y es el motivo por el que limitar los registros abiertos en WordPress siempre fue importante.
¿Cómo afecta a tu sitio concreto?
Si no tenés el plugin LiveSmart Video Chat instalado, el CVE-2026-9644 no te toca. Ni la versión 1.2 ni ninguna otra. Sobre eso hablamos en otras vulnerabilidades WordPress documentadas.
Si lo tenés instalado y actualizado a una versión posterior a 1.2 (con el parche aplicado), tampoco hay riesgo activo.
El escenario problemático es tener LiveSmart en versión ≤1.2 y tener usuarios con rol contributor o superior que no sean de total confianza. Eso incluye sitios con registros abiertos, blogs con múltiples autores externos, o plataformas donde terceros publican contenido.
La cadena de ataque completa: atacante con acceso contributor crea una entrada, inserta [livesmart_widget attr="<script>payload</script>"], la entrada se publica, cualquier usuario que la visite (incluido un admin) ejecuta el script, el atacante obtiene la cookie de sesión del admin y toma control del sitio.
Pasos para mitigar el CVE-2026-9644
1. Actualizar el plugin
El primer paso es revisar si existe una versión posterior a 1.2 disponible en el repositorio de WordPress. Entrá a Plugins > Actualizaciones en tu panel y buscá LiveSmart Video Chat. Si hay una versión nueva, instalala. El changeset publicado en el trac oficial confirma que se aplicaron correcciones de sanitización y escape de salida.
2. Auditar entradas y páginas con el shortcode
Buscá en tu base de datos (o vía la búsqueda de WordPress) todas las entradas que contengan livesmart_widget. Revisá cada una manualmente. Si hay atributos que no reconocés como válidos, borrá el shortcode de esa entrada y revisá el historial de revisiones para ver quién lo insertó. Tema relacionado: herramientas para detectar malware.
3. Revisar roles y accesos
Chequeá quién tiene rol contributor o superior en tu sitio. Si hay cuentas que no reconocés o que ya no deberían tener acceso, desactivarlas o bajarles el rol. Si tu sitio no necesita registros abiertos, deshabilitá la opción en Ajustes > General.
4. Deshabilitar si no lo usás
Si instalaste LiveSmart Video Chat en algún momento y no lo estás usando activamente, desinstalalo. Un plugin inactivo que sigue instalado sigue siendo una superficie de ataque.
5. Escanear con Wordfence
Wordfence tiene el CVE-2026-9644 en su base de inteligencia de amenazas. Si tenés el plugin activo, su escáner puede detectar la versión vulnerable y alertarte. La versión gratuita ya incluye detección de plugins vulnerables conocidos.
Herramientas para detectar y monitorear
| Herramienta | Qué hace con este CVE | Costo |
|---|---|---|
| Wordfence | Detecta versión vulnerable, alertas en tiempo real, firewall | Gratis / Premium USD 119/año |
| Patchstack | Base de datos de CVEs WordPress, alertas por plugin instalado | Gratis / Planes desde USD 5/mes |
| INCIBE-CERT | Alertas oficiales de vulnerabilidades, referencia CVE en español | Gratis |
| Google Search Console | Alertas de seguridad si Google detecta código malicioso inyectado | Gratis |
Si tu sitio está en un hosting con WordPress gestionado, algunos proveedores (como donweb.com) incluyen monitoreo de seguridad a nivel de infraestructura que puede detectar comportamientos anómalos antes de que el daño sea grande.
Errores comunes al gestionar este tipo de vulnerabilidad
Error 1: asumir que como no usás el shortcode no hay riesgo. Si el plugin está instalado y activo, el shortcode está disponible para cualquier usuario con el rol adecuado. No importa si vos nunca lo pusiste en una página.
Error 2: actualizar el plugin y no revisar el contenido existente. Actualizar corrige la vulnerabilidad para nuevas inserciones. Pero si antes de actualizar alguien ya inyectó un payload en una entrada, ese código sigue en la base de datos. Hay que limpiar el contenido viejo también. Nuestros colegas de donweb.news lo analizan en reproducir esta vulnerabilidad en laboratorio.
Error 3: subestimar el rol contributor. Mucha gente cree que contributor es un rol de bajo riesgo porque los posts necesitan aprobación editorial. Eso sí, en algunos sitios la configuración de publicación directa está habilitada, o el XSS se ejecuta igual en la vista previa antes de publicar (dependiendo del plugin). Contributor con capacidad de crear shortcodes en un plugin con esta falla es un vector real. Para más detalles técnicos, mirá vulnerabilidades críticas recientes en WordPress.
Podés ver más detalles en nuestro análisis de CVE-2026-9644.
Esto se conecta con CVE-2026-9644, donde cubrimos en detalle esta vulnerabilidad.
Si querés meterte en detalle, tenemos un artículo sobre el CVE-2026-9644.
Preguntas Frecuentes
¿Qué es el CVE-2026-9644 en WordPress?
CVE-2026-9644 es una vulnerabilidad de Stored Cross-Site Scripting en el plugin LiveSmart Video Chat Live Video Chat para WordPress, presente en todas las versiones hasta la 1.2 inclusive. Se explota insertando código malicioso vía el shortcode livesmart_widget con atributos no sanitizados. Tiene puntaje CVSS 3.1 de 6.1 (severidad media).
¿Qué plugin está vulnerable en el CVE-2026-9644?
El plugin vulnerable es LiveSmart Video Chat Live Video Chat, usado para integrar videochat en páginas de WordPress. Las versiones afectadas son todas hasta la 1.2 inclusive. Si tenés una versión superior con el parche aplicado, no estás expuesto.
¿Quién puede explotar el CVE-2026-9644?
Solo usuarios autenticados con rol contributor o superior. No es una vulnerabilidad explotable por visitantes anónimos. El riesgo es mayor en sitios con registros abiertos o con múltiples autores externos que puedan crear contenido con el shortcode del plugin.
¿Cómo protejo mi sitio WordPress de esta vulnerabilidad?
Tres pasos concretos: actualizar LiveSmart Video Chat a una versión posterior a 1.2, auditar las páginas que ya tienen el shortcode livesmart_widget para verificar que no hay payload inyectado, y revisar quién tiene rol contributor o superior en tu instalación. Si no usás el plugin, desinstalalo.
¿Afecta el CVE-2026-9644 a todos los usuarios de WordPress?
Solo afecta a sitios que tengan instalado y activo el plugin LiveSmart Video Chat en versión 1.2 o anterior. Si no usás ese plugin, no hay impacto. WordPress core y otros plugins no están involucrados en esta vulnerabilidad específica.
Conclusión
El CVE-2026-9644 no es un zero-day crítico que requiera pánico, pero tampoco es una falla que se pueda dejar en el cajón. Stored XSS con acceso contributor es un vector real para comprometer administradores de WordPress, especialmente en sitios con múltiples autores o registros abiertos.
Si tenés LiveSmart Video Chat instalado en versión ≤1.2, actualizá ahora. Si no lo usás, desinstalalo. Tener plugins activos que no cumplen ninguna función en tu sitio solo suma superficie de ataque sin ningún beneficio.
La lección más amplia es la de siempre: auditá regularmente qué plugins tenés instalados, con qué versión, y si efectivamente los seguís usando. Un plugin abandonado o sin actualizar es una puerta que dejás entreabierta sin darte cuenta.