Saltar al contenido

Fuente base de datos: Wordfence Intelligence

NEX-Forms <= 9.2.2 - Unauthenticated Stored Cross-Site Scripting via '_name[]' Array Parameter en NEX Forms Express WP Form Builder (Cross-Site Scripting (XSS)) - version 9.2.3

PLUGIN HIGH CVE-2026-12142

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin NEX-Forms hasta la versión 9.2.2. Este fallo permite la ejecución de scripts maliciosos sin autenticación, lo que puede comprometer la seguridad de los usuarios y la integridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el parámetro '_name[]' del plugin NEX-Forms, lo que permite a un atacante inyectar código JavaScript malicioso. La superficie de ataque es accesible sin necesidad de estar autenticado, lo que aumenta el riesgo de explotación.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de scripts no autorizados en el navegador de un usuario, lo que podría llevar al robo de información sensible o a la redirección a sitios maliciosos. Esto puede dañar la reputación del sitio y comprometer la confianza de los usuarios.

Vector de explotación

El vector de explotación implica enviar una solicitud HTTP manipulada que incluya un script malicioso en el parámetro '_name[]', lo que permite que el código se ejecute en el contexto del navegador de la víctima.

Mitigación recomendada

Actualizar el plugin NEX-Forms a la versión 9.2.3 o superior para corregir la vulnerabilidad. Revisar y sanitizar todos los parámetros de entrada en formularios para prevenir inyecciones de código. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar el impacto de posibles ataques XSS.

Señales de detección

Revisar los registros de acceso para detectar solicitudes inusuales que contengan el parámetro '_name[]' con contenido sospechoso. Monitorizar cambios en la configuración del plugin y la actividad de los usuarios.

Alcance afectado

Las versiones afectadas son todas las versiones de NEX-Forms hasta la 9.2.2. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

nex-forms-express-wp-form-builder

NEX-Forms <= 9.2.2 - Unauthenticated Stored Cross-Site Scripting via 'real_val__' Parameter

HIGH PLUGIN

nex-forms-express-wp-form-builder

NEX-Forms <= 9.1.11 - Unauthenticated Stored Cross-Site Scripting via POST Parameter Key Names

MEDIUM PLUGIN

nex-forms-express-wp-form-builder

NEX-Forms <= 9.1.7 - Reflected Cross-Site Scripting

HIGH PLUGIN

nex-forms-express-wp-form-builder

NEX-Forms <= 9.1.7 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

nex-forms-express-wp-form-builder

Nex-Forms Express WP Form Builder <= 9.1.7 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

nex-forms-express-wp-form-builder

NEX-Forms – Ultimate Form Builder – Contact forms and much more <= 8.9.1 - Authenticated (Custom) Stored Cross-Site Scripting

MEDIUM PLUGIN

nex-forms-express-wp-form-builder

NEX-Forms – Ultimate Form Builder <= 8.7.3 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

nex-forms-express-wp-form-builder

NEX-Forms – Ultimate Form Builder <= 8.5.10 - Authenticated (Contributor+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad