Fuente base de datos: Wordfence Intelligence

Visionary Core <= 1.4.9 - Reflected Cross-Site Scripting en NOO Visionary Core (Cross-Site Scripting (XSS)) - version 1.5.0

PLUGIN MEDIUM CVE-2026-24980

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Visionary Core, que afecta a versiones hasta la 1.4.9. Esta falla puede ser explotada para inyectar scripts maliciosos, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se presenta en el plugin Visionary Core, permitiendo a un atacante inyectar código JavaScript a través de entradas no sanitizadas. La superficie de ataque se centra en formularios y parámetros de URL que no validan adecuadamente los datos introducidos por el usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante ejecutar scripts en el navegador de un usuario autenticado, lo que podría resultar en el robo de credenciales o la manipulación de la sesión. Esto representa un riesgo significativo para la integridad y la confianza en el sitio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que incluyan código JavaScript en los parámetros, que luego son procesados sin la debida validación.

Mitigación recomendada

Actualizar el plugin Visionary Core a la versión 1.5.0 o superior para cerrar la vulnerabilidad. Revisar y sanitizar todas las entradas de usuario en formularios y parámetros de URL. Implementar políticas de seguridad como Content Security Policy (CSP) para mitigar el impacto de posibles inyecciones. Realizar pruebas de seguridad periódicas para identificar nuevas vulnerabilidades.

Señales de detección

Monitorear los registros de acceso en busca de patrones inusuales, como solicitudes que contienen scripts o parámetros sospechosos. También se deben revisar las configuraciones del plugin para detectar posibles configuraciones inseguras.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.5.0 del plugin Visionary Core. No se han confirmado otros escenarios de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

betterdocs

BetterDocs <= 4.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'blockId' Block Attribute

MEDIUM PLUGIN

blocksy-companion

Blocksy Companion <= 2.1.45 - Authenticated (Editor+) Stored Cross-Site Scripting via 'product_description' Parameter

MEDIUM PLUGIN

creavi-booking-service

Appointment Booking Calendar <= 1.4.4 - Authenticated (Author+) Stored Cross-Site Scripting via Custom Booking Field Label

MEDIUM PLUGIN

themeisle-companion

Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More <= 3.0.6 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'menu-item-icon' Parameter

MEDIUM PLUGIN

services-section

Services Section Block <= 1.4.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'link' Block Attribute

MEDIUM PLUGIN

customize-my-account-for-woocommerce

SysBasics Customize My Account for WooCommerce <= 4.3.6 - Reflected Cross-Site Scripting via 'tab' Parameter

MEDIUM PLUGIN

customize-my-account-for-woocommerce

SysBasics Customize My Account for WooCommerce <= 4.3.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

powerpress

PowerPress Podcasting plugin by Blubrry <= 11.16.8 - Authenticated (Author+) Stored Cross-Site Scripting via 'embed' Episode Meta Field

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto