Fuente base de datos: Wordfence Intelligence

TablePress <= 3.1.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via Multiple Parameters

PLUGIN MEDIUM CVE-2025-5096

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin TablePress, que afecta a las versiones hasta la 3.1.2. Esta vulnerabilidad permite la inyección de scripts maliciosos a través de múltiples parámetros, lo que puede comprometer la seguridad de los usuarios autenticados con permisos de contribuidor o superiores.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de las entradas del usuario, permitiendo que se inyecten scripts en el DOM. La superficie de ataque se centra en la interacción de usuarios autenticados que pueden enviar datos a través de formularios o parámetros de entrada en el plugin.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar scripts en el navegador de otros usuarios autenticados, lo que podría resultar en el robo de datos sensibles, suplantación de identidad o redirección a sitios maliciosos. Esto podría afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando entradas manipuladas a través de formularios del plugin, que luego son procesadas sin la debida validación o sanitización, permitiendo la ejecución de scripts maliciosos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin TablePress a la versión 3.1.3 o superior. Además, es aconsejable revisar y reforzar las políticas de validación y sanitización de entradas en todos los formularios y parámetros utilizados por el plugin.

Señales de detección

Se pueden detectar intentos de explotación a través de registros de actividad inusuales, como la inclusión de scripts en las entradas de formularios o comportamientos anómalos en las sesiones de usuarios autenticados.

Alcance afectado

Las versiones del plugin TablePress hasta la 3.1.2 están afectadas. Se recomienda a todos los usuarios de este plugin verificar su versión y realizar la actualización correspondiente.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

tablepress

TablePress – Tables in WordPress made easy <= 3.2.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

tablepress

TablePress <= 3.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via shortcode_debug Parameter

MEDIUM PLUGIN

tablepress

TablePress – Tables in WordPress made easy <= 3.0.4 - Authenticated (Author+) Stored Cross-Site Scripting

MEDIUM PLUGIN

tablepress

TablePress <= 2.4.2 - Authenticated (Author+) Stored Cross-Site Scripting

MEDIUM PLUGIN

tablepress

Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto