Fuente base de datos: Wordfence Intelligence

Jobica Core <= 1.4.1 - Reflected Cross-Site Scripting (Cross-Site Scripting (XSS)) - version 1.4.2

PLUGIN MEDIUM CVE-2026-24979

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS reflejado en Jobica Core hasta la versión 1.4.1. Esta falla puede permitir a un atacante ejecutar scripts maliciosos en el navegador de un usuario, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se presenta en el plugin Jobica Core, afectando a las versiones anteriores a la 1.4.2. El vector de ataque se basa en la manipulación de entradas que no son adecuadamente validadas, lo que permite la inyección de código JavaScript malicioso.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir el robo de información sensible de los usuarios y la posibilidad de redirigir a los visitantes a sitios maliciosos. Esto puede dañar la reputación del negocio y comprometer la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad mediante la creación de enlaces manipulados que, al ser visitados por un usuario, ejecutan scripts no autorizados en su navegador.

Mitigación recomendada

Actualizar el plugin Jobica Core a la versión 1.4.2 o superior. Revisar y validar todas las entradas de usuario en el sitio para prevenir inyecciones de código. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar el riesgo de XSS.

Señales de detección

Monitorear logs de acceso en busca de patrones inusuales, como URLs que contienen parámetros sospechosos o scripts inusuales que se ejecutan en el navegador del usuario.

Alcance afectado

Las versiones del plugin Jobica Core hasta la 1.4.1 están afectadas. No se han confirmado otros escenarios o plugins relacionados.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

slicewp

Affiliate Program Suite <= 1.2.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via slicewp_affiliate_url Shortcode

HIGH PLUGIN

latepoint

LatePoint <= 5.5.0 - Unauthenticated Stored Cross-Site Scripting via 'first_name' Parameter

MEDIUM PLUGIN

latepoint

LatePoint <= 5.5.0 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Customer Cabinet Profile Update

HIGH PLUGIN

latepoint

LatePoint <= 5.5.0 - Unauthenticated Stored Cross-Site Scripting via 'booking_form_page_url' Parameter

MEDIUM PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1056 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'Follow Button Text' Parameter

MEDIUM PLUGIN

wp-carousel-free

WP Carousel Free <= 2.7.10 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'data-caption' Attribute

HIGH PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1056 - Unauthenticated Stored Cross-Site Scripting via 'status' Parameter in wpr_update_form_action_meta

MEDIUM PLUGIN

zingaya-click-to-call

Zingaya Click-to-Call <= 1.0 - Reflected Cross-Site Scripting via 'email' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto