Fuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
La vulnerabilidad identificada en el plugin DA Media GigList, hasta la versión 1.9.0, permite la ejecución de scripts maliciosos a través de un atributo del shortcode 'list_title' para usuarios autenticados con rol de colaborador o superior. Esta falla de seguridad tiene una severidad media y fue publicada el 6 de marzo de 2026.
La vulnerabilidad se manifiesta como un Cross-Site Scripting (XSS) almacenado, que permite a un atacante inyectar código JavaScript en el contenido que se muestra a otros usuarios. Esto ocurre mediante la manipulación del atributo 'list_title' en los shortcodes del plugin, lo que expone a los visitantes del sitio a posibles ataques si se visualiza el contenido afectado.
El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el navegador de otros usuarios, lo que podría resultar en el robo de información sensible, suplantación de identidad o redirección a sitios maliciosos. Esto puede afectar la reputación del negocio y la confianza de los usuarios en la plataforma.
Los atacantes suelen explotar esta vulnerabilidad creando contenido malicioso que se inserta a través del shortcode afectado. Una vez que el contenido es visualizado por otros usuarios, el script se ejecuta en su navegador, facilitando el robo de datos o la ejecución de acciones no autorizadas.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin DA Media GigList a la versión 1.9.0 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la validación y sanitización de los inputs del usuario y el uso de políticas de seguridad de contenido (CSP) para limitar la ejecución de scripts no autorizados.
Las señales de posible explotación incluyen la aparición de contenido extraño o no autorizado en las listas generadas por el plugin, así como reportes de comportamiento inusual por parte de los usuarios, como redirecciones inesperadas o mensajes de alerta en el navegador.
Todas las instalaciones que utilicen el plugin DA Media GigList en versiones anteriores a la 1.9.0 están en riesgo. Es crucial que los administradores de sitios web verifiquen la versión instalada y apliquen las actualizaciones necesarias.
ultimate-flipbox-addon-for-elementor
coblocks
categories-images
custom-post-widget
contextual-related-posts
pz-linkcard
hostel
youzify
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.