Fuente base de datos: Wordfence Intelligence

Jobica Core <= 1.4.1 - Reflected Cross-Site Scripting (Cross-Site Scripting (XSS)) - version 1.4.2

PLUGIN MEDIUM CVE-2026-24979

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS reflejado en Jobica Core hasta la versión 1.4.1. Esta falla puede permitir a un atacante ejecutar scripts maliciosos en el navegador de un usuario, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se presenta en el plugin Jobica Core, afectando a las versiones anteriores a la 1.4.2. El vector de ataque se basa en la manipulación de entradas que no son adecuadamente validadas, lo que permite la inyección de código JavaScript malicioso.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir el robo de información sensible de los usuarios y la posibilidad de redirigir a los visitantes a sitios maliciosos. Esto puede dañar la reputación del negocio y comprometer la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad mediante la creación de enlaces manipulados que, al ser visitados por un usuario, ejecutan scripts no autorizados en su navegador.

Mitigación recomendada

Actualizar el plugin Jobica Core a la versión 1.4.2 o superior. Revisar y validar todas las entradas de usuario en el sitio para prevenir inyecciones de código. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar el riesgo de XSS.

Señales de detección

Monitorear logs de acceso en busca de patrones inusuales, como URLs que contienen parámetros sospechosos o scripts inusuales que se ejecutan en el navegador del usuario.

Alcance afectado

Las versiones del plugin Jobica Core hasta la 1.4.1 están afectadas. No se han confirmado otros escenarios o plugins relacionados.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

betterdocs

BetterDocs <= 4.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'blockId' Block Attribute

MEDIUM PLUGIN

blocksy-companion

Blocksy Companion <= 2.1.45 - Authenticated (Editor+) Stored Cross-Site Scripting via 'product_description' Parameter

MEDIUM PLUGIN

creavi-booking-service

Appointment Booking Calendar <= 1.4.4 - Authenticated (Author+) Stored Cross-Site Scripting via Custom Booking Field Label

MEDIUM PLUGIN

themeisle-companion

Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More <= 3.0.6 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'menu-item-icon' Parameter

MEDIUM PLUGIN

services-section

Services Section Block <= 1.4.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'link' Block Attribute

MEDIUM PLUGIN

customize-my-account-for-woocommerce

SysBasics Customize My Account for WooCommerce <= 4.3.6 - Reflected Cross-Site Scripting via 'tab' Parameter

MEDIUM PLUGIN

customize-my-account-for-woocommerce

SysBasics Customize My Account for WooCommerce <= 4.3.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

powerpress

PowerPress Podcasting plugin by Blubrry <= 11.16.8 - Authenticated (Author+) Stored Cross-Site Scripting via 'embed' Episode Meta Field

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto