Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program <= 3.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'wrap' Shortcode Attribute (Cross-Site Scripting (XSS)) - version 3.1.1

PLUGIN MEDIUM CVE-2026-8607

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin myCred, que afecta a versiones anteriores a 3.1. Este fallo permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos, comprometiendo la seguridad del sitio.

Contexto técnico

El fallo se presenta en el atributo 'wrap' del shortcode del plugin myCred. La superficie de ataque se activa cuando un usuario con permisos de contribuidor o superior inserta código malicioso, que es posteriormente ejecutado en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts no autorizados en el contexto del navegador, lo que puede resultar en el robo de información sensible o la manipulación de la interfaz del usuario. Esto podría afectar la confianza de los usuarios y la integridad del sitio.

Vector de explotación

La explotación se realiza mediante la inserción de un shortcode malicioso por parte de un usuario autenticado, que se almacena y se ejecuta cuando otros usuarios cargan la página que contiene dicho shortcode.

Mitigación recomendada

Actualizar el plugin myCred a la versión 3.1.1 o superior para corregir la vulnerabilidad. Revisar y limpiar cualquier entrada de datos potencialmente maliciosa en los shortcodes existentes. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar riesgos de XSS.

Señales de detección

Revisar los logs para detectar entradas inusuales o no autorizadas en el uso de shortcodes, así como la aparición de scripts no esperados en las páginas del sitio.

Alcance afectado

Las versiones del plugin myCred anteriores a 3.1 son las afectadas. No se han confirmado casos en versiones posteriores a la 3.1.1.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

mycred

Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program – myCred <= 3.0.4 - Authenticated (Subscriber+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

mycred

myCred <= 2.9.7.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'mycred_load_coupon' Shortcode

Ver ficha
MEDIUM PLUGIN

mycred

myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program. <= 2.9.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

mycred

myCred <= 2.9.4.3 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

mycred

myCred – Loyalty Points and Rewards plugin <= 2.7.5.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via mycred_send Shortcode

Ver ficha
MEDIUM PLUGIN

mycred

myCred <= 2.7.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via mycred_link Shortcode

Ver ficha
MEDIUM PLUGIN

mycred

myCred <= 2.7.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

mycred

myCred – Points, Rewards, Gamification, Ranks, Badges & Loyalty Plugin <= 2.6.3 - Authenticated (Subscriber+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad