Fuente base de datos: Wordfence Intelligence

Cookie Notice & Compliance for GDPR / CCPA <= 2.5.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

PLUGIN MEDIUM CVE-2025-11186

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Cookie Notice & Compliance for GDPR / CCPA' en versiones hasta la 2.5.8. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior ejecutar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se presenta como un fallo de XSS almacenado, lo que significa que los scripts maliciosos pueden ser inyectados y almacenados en el servidor, afectando a otros usuarios cuando acceden a la página comprometida. La superficie de ataque se centra en la funcionalidad de shortcodes del plugin, que permite la inserción de contenido dinámico en las páginas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante autenticado inyectar código JavaScript malicioso, lo que podría llevar al robo de información sensible de otros usuarios o a la manipulación del contenido de la página. Esto puede afectar la reputación de la empresa y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al crear un shortcode que contenga código malicioso y luego publicarlo en el sitio, lo que permite que otros usuarios que visualicen el contenido ejecuten el script sin su conocimiento.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.5.9 o superior, donde se ha corregido el fallo. También es aconsejable revisar los permisos de los usuarios y limitar el acceso a las funciones de shortcode solo a roles de usuario de confianza.

Señales de detección

Señales de riesgo incluyen la presencia de código JavaScript no autorizado en las páginas generadas por el plugin, así como informes de comportamientos inusuales por parte de los usuarios, como redirecciones inesperadas o cambios en el contenido de la página.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin 'Cookie Notice & Compliance for GDPR / CCPA' hasta la 2.5.8. Las instalaciones que no han actualizado a la versión 2.5.9 están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

cookie-notice

Cookie Notice & Compliance for GDPR / CCPA <= 2.5.8 - Authenticated (Author+) Stored Cross-Site Scripting

MEDIUM PLUGIN

cookie-notice

Cookie Notice & Compliance for GDPR / CCPA <= 2.4.17.1 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

cookie-notice

Cookie Notice & Compliance for GDPR / CCPA <= 2.4.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'cookies_revoke_shortcode' Shortcode

MEDIUM PLUGIN

cookie-notice

Cookie Notice & Compliance for GDPR / CCPA <= 2.4.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'cookies_policy_link' Shortcodes

MEDIUM PLUGIN

cookie-notice

Cookie Notice & Compliance for GDPR / CCPA <= 2.1.1 - Authenticated (Admin+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto