Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

NMR Strava activities <= 1.0.14 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes (Cross-Site Scripting (XSS)) - version 1.0.15

PLUGIN MEDIUM CVE-2026-5341

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin NMR Strava Activities hasta la versión 1.0.14. Esta falla permite a usuarios autenticados (nivel Contributor o superior) inyectar scripts maliciosos, afectando la integridad del sitio web y la seguridad de los datos.

Contexto técnico

La vulnerabilidad se manifiesta a través de los atributos de shortcode del plugin, lo que permite a un atacante inyectar código JavaScript en las páginas donde se utilice dicho shortcode. La exposición ocurre en entornos donde se permite la edición de contenido por parte de usuarios con permisos de Contributor o superiores.

Impacto potencial

El impacto de esta vulnerabilidad puede comprometer la seguridad de la información del usuario y la funcionalidad del sitio, permitiendo a atacantes ejecutar scripts en el navegador de otros usuarios. Esto podría llevar a la suplantación de identidad o a la divulgación de información sensible, afectando la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la inyección de scripts a través de los atributos de shortcode, que se ejecutan en el contexto del navegador de otros usuarios que visualizan el contenido afectado.

Mitigación recomendada

Actualizar el plugin NMR Strava Activities a la versión 1.0.15 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios para limitar el acceso a la edición de contenido solo a aquellos que realmente lo necesiten. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web, para detectar y bloquear intentos de explotación.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales de acceso a shortcodes y detectar cualquier intento de inyección de scripts en el contenido.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin NMR Strava Activities hasta la 1.0.14. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

nmr-strava-activities

NMR Strava activities <= 1.0.7 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad