Fuente base de datos: Wordfence Intelligence

FunnelKit – Funnel Builder for WooCommerce Checkout <= 3.13.1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via wfop_phone Shortcode

PLUGIN MEDIUM CVE-2025-12878

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin FunnelKit para WooCommerce Checkout, que afecta a las versiones hasta la 3.13.1.2. Esta vulnerabilidad permite a los atacantes autenticados inyectar scripts maliciosos a través del shortcode wfop_phone.

Contexto técnico

La vulnerabilidad se presenta como un fallo de XSS almacenado, donde un usuario con privilegios de contribuyente o superiores puede insertar código JavaScript malicioso en el sistema. Esto ocurre a través del shortcode wfop_phone, lo que permite que el script se ejecute en el navegador de otros usuarios que visualicen la página afectada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría llevar al robo de información sensible, suplantación de identidad o redirección a sitios maliciosos. Esto podría afectar la confianza de los usuarios en la plataforma y, por ende, tener repercusiones económicas.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante la inyección de código JavaScript a través del shortcode wfop_phone en una página accesible a otros usuarios. Un atacante autenticado puede modificar el contenido de la página para incluir el script malicioso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin FunnelKit a la versión 3.13.1.3 o superior. Además, es aconsejable revisar los permisos de los usuarios y limitar el acceso a funciones críticas del sistema. Implementar medidas de sanitización de entrada también puede ayudar a prevenir la inyección de scripts.

Señales de detección

Señales que pueden indicar la explotación de esta vulnerabilidad incluyen la aparición de comportamientos inusuales en la interfaz de usuario, como redirecciones inesperadas o la ejecución de scripts no autorizados. Monitorear los registros de actividad de los usuarios también puede ser útil para detectar accesos no autorizados.

Alcance afectado

Las versiones afectadas de FunnelKit para WooCommerce Checkout son todas hasta la 3.13.1.2. La vulnerabilidad ha sido corregida en la versión 3.13.1.3, publicada el 18 de noviembre de 2025.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

funnel-builder

Funnel Builder by FunnelKit <= 3.13.1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

funnel-builder

FunnelKit <= 3.12.0 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

funnel-builder

Funnel Builder for WordPress by FunnelKit – Customize WooCommerce Checkout Pages, Create Sales Funnels, Order Bumps & One Click Upsells <= 3.3.1 - Authenticated (Author+) Stored Cross-Site Scripting via SVG Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto