Fuente base de datos: Wordfence Intelligence

Email JavaScript Cloak <= 1.03 - Unauthenticated Stored Cross-Site Scripting en Email Javascript Cloaker (Cross-Site Scripting (XSS))

PLUGIN HIGH CVE-2026-10091

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Email JavaScript Cloaker, afectando a versiones hasta la 1.03. Este fallo permite la ejecución de scripts maliciosos, comprometiendo la seguridad del sitio y la integridad de los datos de los usuarios.

Contexto técnico

El fallo se presenta en el plugin Email JavaScript Cloaker, permitiendo la inyección de scripts no autenticados a través de entradas manipuladas. La superficie de ataque se amplía a cualquier usuario que interactúe con el contenido generado por el plugin, sin necesidad de autenticación previa.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en el robo de información sensible, como credenciales de usuario, y en la manipulación del contenido del sitio. Esto puede llevar a una pérdida de confianza por parte de los usuarios y afectar gravemente la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que incluyan scripts en campos de entrada, que luego son procesados y ejecutados por el navegador de otros usuarios.

Mitigación recomendada

Actualizar el plugin Email JavaScript Cloaker a la versión 1.03 o superior. Revisar y limpiar cualquier entrada de usuario que pueda estar expuesta a este tipo de ataque. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP) para mitigar el riesgo de XSS.

Señales de detección

Monitorizar los logs de acceso en busca de patrones inusuales en las solicitudes, así como la presencia de scripts no autorizados en las respuestas del servidor.

Alcance afectado

Las versiones del plugin Email JavaScript Cloaker hasta la 1.03 son vulnerables. No se ha confirmado la existencia de casos en versiones posteriores, pero se recomienda la actualización inmediata.

Vulnerabilidades relacionadas

HIGH PLUGIN

video-playlist-and-gallery-plugin

Cincopa video and media plug-in <= 1.163 - Unauthenticated Stored Cross-Site Scripting via cincopa Shortcode in Post Comments

MEDIUM PLUGIN

osiris-signature-banner

Osiris Signature Banner <= 0.5 - Cross-Site Request Forgery to Stored Cross-Site Scripting via 'prepend_text' Parameter

MEDIUM PLUGIN

image-sizes-on-demand

Image Sizes on Demand <= 1.3 - Reflected Cross-Site Scripting via PHP_SELF Server Variable

MEDIUM PLUGIN

entredropper

EntreDroppers <= 1.1.2 - Reflected Cross-Site Scripting via PHP_SELF Parameter

MEDIUM PLUGIN

avalon23-products-filter-for-woocommerce

Avalon23 Products Filter for WooCommerce <= 1.1.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

mir-blocks-and-shortcodes

MIR blocks and shortcodes <= 1.0.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

wp-latest-posts

WP Latest Posts <= 5.0.11 - Authenticated (Author+) Stored Cross-Site Scripting via Post Content Image src Attribute

HIGH PLUGIN

wp-meta-seo

WP Meta SEO <= 4.5.18 - Unauthenticated Stored Cross-Site Scripting via REQUEST_URI in 404 Logging

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto