Fuente base de datos: Wordfence Intelligence

Advanced Social Media Icons <= 1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'social' Shortcode (Cross-Site Scripting (XSS))

PLUGIN MEDIUM CVE-2026-7659

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Advanced Social Media Icons, que afecta a las versiones hasta la 1.2. Este fallo permite a los atacantes autenticados inyectar scripts maliciosos, lo que puede comprometer la seguridad de la información del usuario y afectar la operativa del sitio.

Contexto técnico

La vulnerabilidad reside en el shortcode 'social' del plugin, permitiendo a usuarios con rol de Contributor o superior inyectar código JavaScript malicioso. Esto se convierte en un vector de ataque que puede ser explotado para robar información sensible o realizar acciones no autorizadas en nombre del usuario.

Impacto potencial

El impacto potencial incluye el robo de datos de usuarios y la posibilidad de que el sitio sea utilizado para distribuir malware. Esto puede resultar en una pérdida de confianza por parte de los usuarios y repercusiones legales si se comprometen datos personales.

Vector de explotación

La explotación se lleva a cabo mediante la inyección de código en el shortcode 'social', lo que permite a un atacante ejecutar scripts en el navegador de otros usuarios que visiten la página afectada.

Mitigación recomendada

Actualizar el plugin Advanced Social Media Icons a la versión 1.2 o superior. Revisar y restringir los permisos de los usuarios que pueden acceder a la funcionalidad del shortcode. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar el impacto de futuros ataques XSS.

Señales de detección

Señales de riesgo incluyen logs de actividad inusual por parte de usuarios con privilegios, así como la presencia de scripts no autorizados en las páginas que utilizan el shortcode 'social'.

Alcance afectado

El fallo afecta a todas las instalaciones del plugin Advanced Social Media Icons hasta la versión 1.2. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

quick-table

Quick Table <= 1.0.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'style' Shortcode Attribute

MEDIUM PLUGIN

scratchblocks-for-wp

scratchblocks for WP <= 1.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'element' Shortcode Attribute

MEDIUM PLUGIN

source-shortcode

Credits Shortcode <= 1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'link' Shortcode Attribute

HIGH PLUGIN

lifepress

LifePress <= 2.2.2 - Unauthenticated Stored Cross-Site Scripting via 'n' Parameter via lp_update_mds AJAX Action

MEDIUM PLUGIN

bootstrap-shortcode

Bootstrap Shortcode <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'box' Shortcode

MEDIUM PLUGIN

fancy-image-show

Fancy Image Show <= 9.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

voyage-plus

Voyage Plus <= 1.0.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'post-content' Shortcode

MEDIUM PLUGIN

shortcodely

Shortcodely <= 1.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'widget_area' Shortcode Attribute

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto