Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

WPBakery Page Builder <= 8.6.1 - Stored Cross-Site Scripting via vc_custom_heading Shortcode

PLUGIN MEDIUM CVE-2025-11161

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WPBakery Page Builder, que afecta a versiones hasta la 8.6.1. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, lo que puede comprometer la seguridad del sitio web.

Contexto técnico

El fallo se encuentra en el shortcode 'vc_custom_heading', que no valida adecuadamente la entrada del usuario, permitiendo la inyección de código JavaScript. Esto convierte al plugin en un vector de ataque potencial, ya que los scripts pueden ejecutarse en el contexto de otros usuarios que visiten la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la ejecución de scripts no autorizados, lo que podría resultar en el robo de información sensible, suplantación de identidad de usuarios o redirección a sitios maliciosos. Esto puede dañar la reputación de la empresa y afectar la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando enlaces manipulados o utilizando formularios que permiten la inyección de código malicioso a través del shortcode vulnerable. La ejecución del script se produce cuando otros usuarios cargan la página afectada.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin WPBakery Page Builder a la versión 8.7 o superior. Además, se sugiere revisar y validar todas las entradas de usuario en el sitio, así como implementar medidas de seguridad adicionales, como un firewall de aplicaciones web.

Señales de detección

Se deben monitorizar los registros de actividad del sitio en busca de comportamientos inusuales, como la aparición de scripts no autorizados o cambios inesperados en el contenido de las páginas. También es útil realizar pruebas de penetración periódicas.

Alcance afectado

Las versiones del plugin WPBakery Page Builder hasta la 8.6.1 están afectadas por esta vulnerabilidad. Las instalaciones que no han actualizado a la versión 8.7 o superior corren un alto riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

js_composer

WPBakery Page Builder <= 8.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

js_composer

WPBakery Page Builder <= 8.6.1 - Stored Cross-Site Scripting via Custom JS Module

Ver ficha
MEDIUM PLUGIN

js_composer

WPBakery Page Builder for WordPress <= 8.5 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

js_composer

WPBakery Page Builder <= 8.4.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Multiple Page Builder Elements

Ver ficha
MEDIUM PLUGIN

js_composer

WPBakery Page Builder <= 8.4.1 - Authenticated (Author+) Stored Cross-Site Scripting via Grid Builder

Ver ficha
MEDIUM PLUGIN

js_composer

WPBakery <= 7.7 - Authenticated (Author+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

js_composer

WPBakery Page Builder <= 7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via VC Single Image link attribute

Ver ficha
MEDIUM PLUGIN

js_composer

WPBakery Visual Composer <= 7.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Post Author

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad