Saltar al contenido

Fuente base de datos: Wordfence Intelligence

VikBooking Hotel Booking Engine & PMS <= 1.8.12 - Reflected Cross-Site Scripting via 'layoutstyle' Parameter (Cross-Site Scripting (XSS)) - version 1.8.13

PLUGIN MEDIUM CVE-2026-12754

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin VikBooking, que afecta a las versiones hasta la 1.8.12. Esta falla permite a un atacante inyectar scripts maliciosos, comprometiendo la seguridad del sitio y la integridad de los datos del usuario.

Contexto técnico

El fallo se origina en el parámetro 'layoutstyle', que no valida adecuadamente las entradas del usuario. Esto permite que un atacante envíe solicitudes manipuladas que pueden ser reflejadas en la respuesta del servidor, facilitando la ejecución de scripts no autorizados en el navegador de la víctima.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en el robo de información sensible de los usuarios, así como en la alteración de la experiencia del usuario en el sitio. Esto puede llevar a una pérdida de confianza por parte de los clientes y posibles repercusiones legales.

Vector de explotación

Generalmente, se explota mediante la manipulación de parámetros en las solicitudes HTTP que son procesadas por el plugin, lo que permite la inyección de código JavaScript malicioso que se ejecuta en el navegador del usuario.

Mitigación recomendada

Actualizar el plugin VikBooking a la versión 1.8.13 o superior para corregir la vulnerabilidad. Revisar y limpiar cualquier entrada de usuario que pueda estar afectada por el fallo. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP) para mitigar el impacto de futuros ataques XSS.

Señales de detección

Revisar los registros de acceso en busca de patrones inusuales en las solicitudes que incluyan el parámetro 'layoutstyle', así como cualquier actividad sospechosa en la interacción del usuario con el sitio.

Alcance afectado

Las versiones de VikBooking hasta la 1.8.12 están afectadas. No se han reportado casos de explotación confirmados en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.8.9 - Unauthenticated Stored Cross-Site Scripting

HIGH PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.8.8 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.7.1 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.6.7 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.11 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking <= 1.5.8 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.7 - Admin+ Stored Cross-Site Scripting

HIGH PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.7 - Cross-Site Request Forgery to Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad