Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Events In City <= 3.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes (Cross-Site Scripting (XSS))

PLUGIN MEDIUM CVE-2026-8898

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Events In City, afectando a versiones anteriores a la 3.0. Este fallo permite la inyección de scripts maliciosos que pueden comprometer la seguridad del sitio y la integridad de los datos del usuario.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los atributos de shortcode, permitiendo a usuarios autenticados con rol de 'Contribuidor' o superior inyectar código JavaScript. Esto se traduce en una superficie de ataque que puede ser explotada a través de formularios o entradas de usuario en el frontend.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes ejecutar scripts en el contexto de otros usuarios, lo que podría resultar en el robo de información sensible o redirección a sitios maliciosos. Esto puede afectar la reputación del negocio y la confianza del usuario.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando contenido malicioso a través de shortcodes en entradas o páginas, lo que provoca que el script se ejecute en el navegador de otros usuarios que visualizan la página afectada.

Mitigación recomendada

Actualizar el plugin Events In City a la versión 3.0 o superior. Revisar y limpiar cualquier contenido que haya podido ser inyectado antes de la actualización. Implementar medidas de seguridad adicionales, como la validación de entradas y la sanitización de datos en formularios.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales de acceso a shortcodes y entradas de usuarios con privilegios elevados. También se deben monitorizar cambios en el contenido que no correspondan a acciones legítimas.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Events In City anteriores a la 3.0. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

printfriendly

Print, PDF, Email by PrintFriendly <= 5.5.10 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'content_position_css' Parameter

MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.11.84 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'premium_tooltip_text' Parameter

MEDIUM PLUGIN

starboard-suite-reservation-calendars

Starboard Suite Reservation Calendars <= 3.1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

themify-builder

Themify Builder <= 7.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'height_slider' Slider Module Field

MEDIUM PLUGIN

themify-builder

Themify Builder <= 7.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Map Module 'b_width_map' Field

HIGH PLUGIN

form-vibes

Form Vibes <= 1.5.2 - Unauthenticated Stored Cross-Site Scripting via Contact Form 7 Form Field

HIGH PLUGIN

squirrly-seo

SEO Plugin by Squirrly SEO <= 14.0.0 - Unauthenticated Arbitrary Post Creation and Stored Cross-Site Scripting via savePost()

MEDIUM PLUGIN

wc-multivendor-marketplace

WCFM Marketplace <= 3.7.3 - Authenticated (Vendor+) Stored Cross-Site Scripting via Attachment 'post_title'

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad