Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Pz-LinkCard <= 2.5.8.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes en PZ Linkcard (Cross-Site Scripting (XSS))

PLUGIN MEDIUM CVE-2026-2434

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Pz-LinkCard, que afecta a las versiones hasta 2.5.8.1. Esta falla permite la ejecución de scripts maliciosos a través de atributos de shortcode, comprometiendo la seguridad del sitio y la privacidad de los usuarios.

Contexto técnico

La vulnerabilidad se manifiesta en la forma en que el plugin Pz-LinkCard maneja los atributos de shortcode, permitiendo que un atacante autenticado (con rol de Contributor o superior) inyecte código JavaScript malicioso. Esto se traduce en un vector de ataque que puede ser explotado fácilmente en entornos donde se permite la edición de shortcodes.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación de contenido. Esto no solo afecta la integridad del sitio, sino que también puede dañar la reputación de la marca y la confianza del usuario.

Vector de explotación

Un atacante autenticado puede aprovechar esta vulnerabilidad inyectando código malicioso en los atributos de shortcode, que luego se ejecutará cuando otros usuarios visiten la página que contiene el shortcode comprometido.

Mitigación recomendada

Actualizar el plugin Pz-LinkCard a la versión 2.5.8.1 o superior para corregir la vulnerabilidad. Revisar y sanitizar todos los atributos de shortcode utilizados en el sitio para prevenir inyecciones futuras. Implementar políticas de control de acceso más estrictas para los usuarios con permisos de edición.

Señales de detección

Monitorear los registros de actividad del plugin en busca de cambios no autorizados en shortcodes y verificar la presencia de scripts inusuales en las páginas que utilizan Pz-LinkCard.

Alcance afectado

Las versiones de Pz-LinkCard hasta la 2.5.8.1 están afectadas. No se han confirmado casos en versiones posteriores o en instalaciones que no utilicen este plugin.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

pz-linkcard

Pz-LinkCard <= 2.5.2 - Reflected Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

pz-linkcard

Pz-LinkCard <= 2.5.2 - Authenticated (Administrator+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

pz-linkcard

Pz-LinkCard <= 2.4.5.1 - Reflected Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad