Fuente base de datos: Wordfence Intelligence

SponsorMe <= 0.5.2 - Reflected Cross-Site Scripting via PHP_SELF Parameter (Cross-Site Scripting (XSS))

PLUGIN MEDIUM CVE-2026-8626

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

El plugin SponsorMe hasta la versión 0.5.2 presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) a través del parámetro PHP_SELF. Esta falla permite a un atacante inyectar scripts maliciosos, comprometiendo la seguridad del sitio y la integridad de los datos de los usuarios.

Contexto técnico

La vulnerabilidad se origina en la falta de validación del parámetro PHP_SELF en el plugin SponsorMe, lo que permite la inyección de código JavaScript malicioso. Esto se puede explotar a través de solicitudes HTTP manipuladas, afectando a usuarios que visitan páginas vulnerables.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de scripts no autorizados en el navegador del usuario, lo que podría llevar al robo de información sensible o a la redirección a sitios maliciosos. Esto afecta la confianza del usuario y puede dañar la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas que incluyen scripts maliciosos a través del parámetro PHP_SELF, afectando a los visitantes del sitio.

Mitigación recomendada

Actualizar el plugin SponsorMe a la versión 0.5.2 o posterior para eliminar la vulnerabilidad. Implementar medidas de validación y sanitización de entradas en todos los parámetros que acepten datos del usuario. Revisar y auditar otros plugins y temas en busca de vulnerabilidades similares.

Señales de detección

Monitorizar los logs del servidor en busca de entradas sospechosas que incluyan el parámetro PHP_SELF con contenido no esperado, así como posibles redirecciones a URLs no autorizadas.

Alcance afectado

Las versiones del plugin SponsorMe hasta la 0.5.2 están afectadas. No se han reportado casos de explotación fuera de este contexto.

Vulnerabilidades relacionadas

HIGH PLUGIN

pixel-cost-of-goods

Cost of Goods by PixelYourSite <= 1.2.12 - Unauthenticated Stored Cross-Site Scripting via Cost of Goods Import

MEDIUM PLUGIN

ai-copilot-content-generator

AI Chatbot & Workflow Automation by AIWU <= 1.4.14 - Unauthenticated Stored Cross-Site Scripting via 'X-Forwarded-For' Header

MEDIUM PLUGIN

sticky

Sticky <= 2.5.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'readmoretext' Shortcode Attribute

MEDIUM PLUGIN

lj-comments-import-reloaded

LJ comments import: reloaded <= 0.97.1 - Reflected Cross-Site Scripting via PHP_SELF Parameter

MEDIUM PLUGIN

correct-prices

Correct Prices <= 1.0 - Reflected Cross-Site Scripting via PHP_SELF Parameter

MEDIUM PLUGIN

anomify

Anomify AI <= 0.3.6 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'anomify_api_key' Parameter

MEDIUM PLUGIN

wp-sms-vatansms-com

VatanSMS WP SMS <= 1.01 - Reflected Cross-Site Scripting via 'page' Parameter

MEDIUM PLUGIN

sentence-to-seo

Sentence To SEO (keywords, description and tags) <= 1.0 - Cross-Site Request Forgery to Stored Cross-Site Scripting via Settings Page Parameters

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto