Fuente base de datos: Wordfence Intelligence

Booking Calendar – Event Calendar <= 2.1.6 - Unauthenticated Stored Cross-Site Scripting via Multiple Parameters en Hbook (Cross-Site Scripting (XSS))

PLUGIN HIGH CVE-2026-8143

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin HBook, afectando a versiones hasta 2.1.6. Esta falla permite la ejecución de scripts maliciosos, lo que puede comprometer la seguridad del sitio y la integridad de los datos de los usuarios.

Contexto técnico

La vulnerabilidad se encuentra en la interfaz del plugin HBook, donde múltiples parámetros pueden ser manipulados para inyectar código malicioso. La falta de autenticación en la explotación de esta vulnerabilidad facilita el ataque, permitiendo a un atacante remoto ejecutar scripts en el contexto del usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la sustracción de información sensible, alteración de contenido y un daño significativo a la reputación del negocio. Además, los usuarios pueden ser redirigidos a sitios maliciosos, aumentando el riesgo de phishing.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a la interfaz del plugin, lo que permite la ejecución de scripts en el navegador de los usuarios que visitan el sitio afectado.

Mitigación recomendada

Actualizar el plugin HBook a la versión 2.1.6 o superior para cerrar la vulnerabilidad. Realizar una auditoría de seguridad en el sitio para identificar posibles signos de explotación. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF) para mitigar ataques XSS.

Señales de detección

Revisar los logs del servidor en busca de patrones inusuales en las solicitudes a la interfaz del plugin HBook, así como la detección de scripts no autorizados en el contenido del sitio.

Alcance afectado

Las versiones del plugin HBook hasta la 2.1.6 son vulnerables. No se han confirmado otros escenarios o plugins relacionados que presenten esta vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

animation-addons-for-elementor

Animation Addons for Elementor <= 2.6.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Weather Widget

MEDIUM PLUGIN

woolentor-addons

ShopLentor - WooCommerce Builder for Elementor & Gutenberg <= 3.3.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Product Grid 'blockUniqId' Block Attribute

MEDIUM PLUGIN

faq-shortcode

faq shortocde <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'color' Shortcode Attribute

MEDIUM PLUGIN

my-email-shortcode

My Email Shortcode <= 0.91 - [Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')]

MEDIUM PLUGIN

cryptocurrency-prijsvergelijking-widget

Cryptocurrency Prijsvergelijking Widget <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'width' Shortcode Attribute

MEDIUM PLUGIN

gntt-post-title-ticker

GNTT Post Title Ticker <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

gbi-to-print

GBI To Print <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'div' Shortcode Attribute

MEDIUM PLUGIN

endless-scroll

Endless Scroll <= 1.0.0 - [Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')]

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto