Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories <= 4.10.0 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'wrapper' Shortcode Attribute en Post Expirator (Cross-Site Scripting (XSS)) - version 4.10.1

PLUGIN MEDIUM CVE-2026-5247

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Post Expirator, que permite la ejecución de scripts maliciosos a través del atributo 'wrapper' en shortcodes. Esta falla, con una severidad media (CVSS 5.5), puede comprometer la seguridad de las instalaciones afectadas, especialmente para usuarios con privilegios administrativos.

Contexto técnico

La vulnerabilidad se presenta en el plugin Post Expirator en versiones anteriores a 4.10.1, permitiendo a un atacante autenticado inyectar scripts maliciosos mediante el uso del shortcode 'wrapper'. La superficie de ataque se limita a los administradores que utilizan este plugin en sus sitios de WordPress.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la manipulación del contenido del sitio, la inyección de código malicioso y la posible toma de control de la sesión del administrador. Esto podría resultar en daños a la reputación del negocio y pérdida de confianza por parte de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante la inyección de código JavaScript en el atributo 'wrapper' de un shortcode, lo que permite la ejecución de scripts en el contexto del navegador de otros usuarios con privilegios administrativos.

Mitigación recomendada

Actualizar el plugin Post Expirator a la versión 4.10.1 o posterior. Revisar y limpiar cualquier contenido que pueda haber sido afectado por la inyección de scripts. Implementar medidas de seguridad adicionales, como la validación y sanitización de entradas en los shortcodes.

Señales de detección

Revisar los logs de acceso y errores en busca de patrones de inyección de scripts, así como cambios inesperados en el contenido de las publicaciones o configuraciones del plugin.

Alcance afectado

Las versiones del plugin Post Expirator anteriores a 4.10.1 están afectadas. No se han confirmado casos en versiones posteriores ni en otros componentes relacionados.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

post-expirator

Post Expirator <= 4.9.4 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad