Fuente base de datos: Wordfence Intelligence

Visionary Core <= 1.4.9 - Reflected Cross-Site Scripting en NOO Visionary Core (Cross-Site Scripting (XSS)) - version 1.5.0

PLUGIN MEDIUM CVE-2026-24980

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Visionary Core, que afecta a versiones hasta la 1.4.9. Esta falla puede ser explotada para inyectar scripts maliciosos, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se presenta en el plugin Visionary Core, permitiendo a un atacante inyectar código JavaScript a través de entradas no sanitizadas. La superficie de ataque se centra en formularios y parámetros de URL que no validan adecuadamente los datos introducidos por el usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante ejecutar scripts en el navegador de un usuario autenticado, lo que podría resultar en el robo de credenciales o la manipulación de la sesión. Esto representa un riesgo significativo para la integridad y la confianza en el sitio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que incluyan código JavaScript en los parámetros, que luego son procesados sin la debida validación.

Mitigación recomendada

Actualizar el plugin Visionary Core a la versión 1.5.0 o superior para cerrar la vulnerabilidad. Revisar y sanitizar todas las entradas de usuario en formularios y parámetros de URL. Implementar políticas de seguridad como Content Security Policy (CSP) para mitigar el impacto de posibles inyecciones. Realizar pruebas de seguridad periódicas para identificar nuevas vulnerabilidades.

Señales de detección

Monitorear los registros de acceso en busca de patrones inusuales, como solicitudes que contienen scripts o parámetros sospechosos. También se deben revisar las configuraciones del plugin para detectar posibles configuraciones inseguras.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.5.0 del plugin Visionary Core. No se han confirmado otros escenarios de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

slicewp

Affiliate Program Suite <= 1.2.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via slicewp_affiliate_url Shortcode

HIGH PLUGIN

latepoint

LatePoint <= 5.5.0 - Unauthenticated Stored Cross-Site Scripting via 'first_name' Parameter

MEDIUM PLUGIN

latepoint

LatePoint <= 5.5.0 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Customer Cabinet Profile Update

HIGH PLUGIN

latepoint

LatePoint <= 5.5.0 - Unauthenticated Stored Cross-Site Scripting via 'booking_form_page_url' Parameter

MEDIUM PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1056 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'Follow Button Text' Parameter

MEDIUM PLUGIN

wp-carousel-free

WP Carousel Free <= 2.7.10 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'data-caption' Attribute

HIGH PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1056 - Unauthenticated Stored Cross-Site Scripting via 'status' Parameter in wpr_update_form_action_meta

MEDIUM PLUGIN

zingaya-click-to-call

Zingaya Click-to-Call <= 1.0 - Reflected Cross-Site Scripting via 'email' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto