Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Contest Gallery – Upload & Vote Photos, Media, Sell with PayPal & Stripe <= 28.1.6 - Authenticated (Subscriber+) Stored Cross-Site Scripting (Cross-Site Scripting (XSS)) - version 29.0.0

PLUGIN MEDIUM CVE-2026-42656

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Contest Gallery, afectando a versiones hasta la 28.1.6. Esta vulnerabilidad permite a usuarios autenticados inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio y la integridad de los datos.

Contexto técnico

La vulnerabilidad se presenta en el componente Contest Gallery, específicamente en las funciones que gestionan la carga y votación de fotos. La exposición se produce cuando un usuario autenticado (con rol de suscriptor o superior) puede enviar contenido que no es debidamente sanitizado, permitiendo la ejecución de scripts en el navegador de otros usuarios.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de contenido y un deterioro de la confianza del usuario en la plataforma. Esto puede traducirse en pérdidas económicas y reputacionales para el negocio.

Vector de explotación

La explotación se realiza mediante el envío de datos maliciosos a través de formularios de carga, que luego son ejecutados en el contexto de otros usuarios que visualizan el contenido afectado.

Mitigación recomendada

Actualizar el plugin Contest Gallery a la versión 29.0.0 o superior para corregir la vulnerabilidad. Revisar y sanitizar adecuadamente todos los inputs de usuario en el plugin para prevenir inyecciones de scripts. Implementar políticas de seguridad como Content Security Policy (CSP) para mitigar el riesgo de XSS.

Señales de detección

Monitorear los logs de acceso en busca de patrones inusuales en las solicitudes de carga de contenido y errores relacionados con la ejecución de scripts en el navegador.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 29.0.0 del plugin Contest Gallery. No se han confirmado casos de explotación activa, pero el riesgo permanece hasta que se aplique la actualización.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

contest-gallery

Contest Gallery – Upload, Vote & Sell with PayPal and Stripe <= 27.0.2 - Authenticated (Author+) Stored Cross-Site Scripting

Ver ficha
HIGH PLUGIN

contest-gallery

Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons, OpenAI <= 26.1.0 - Unauthenticated Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

contest-gallery

Contest Gallery <= 26.0.6 - Reflected Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

contest-gallery

Contest Gallery <= 26.0.8 - Authenticated (Author+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

contest-gallery

Contest Gallery <= 26.0.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via id Parameter

Ver ficha
HIGH PLUGIN

contest-gallery

Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons <= 26.0.0.1 - Unauthenticated Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

contest-gallery

Contest Gallery <= 24.0.3 - Authenticated (Author+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

contest-gallery

Contest Gallery <= 23.1.2 - Unauthenticated Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad