Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Admin and Site Enhancements (ASE) Pro <= 8.8.5 - Unauthenticated Stored Cross-Site Scripting en Admin Site Enhancements PRO (Cross-Site Scripting (XSS)) - version 8.8.6

PLUGIN HIGH CVE-2026-57625

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Admin and Site Enhancements Pro, que afecta a las versiones hasta la 8.8.5. Esta falla permite a un atacante no autenticado inyectar scripts maliciosos, comprometiendo la seguridad del sitio web y sus usuarios.

Contexto técnico

La vulnerabilidad se presenta en el plugin Admin and Site Enhancements Pro, específicamente en la gestión de entradas no autenticadas. Permite la inyección de código JavaScript en las respuestas del servidor, lo que puede ser aprovechado para realizar ataques XSS.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de un usuario. Esto puede llevar al robo de información sensible, suplantación de identidad y otras acciones maliciosas que afectan la integridad del sitio y la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la inyección de código malicioso en formularios o parámetros de URL que son procesados por el plugin, sin requerir autenticación previa.

Mitigación recomendada

Actualizar el plugin Admin and Site Enhancements Pro a la versión 8.8.6 o superior. Revisar y limpiar entradas y salidas de datos en el plugin para prevenir inyecciones futuras. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP), para mitigar el impacto de posibles inyecciones.

Señales de detección

Señales de riesgo incluyen la aparición de scripts inusuales en los logs de acceso, así como cambios inesperados en la configuración del plugin o en las páginas generadas por este.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 8.8.6 del plugin Admin and Site Enhancements Pro. No se han confirmado otros escenarios de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

printfriendly

Print, PDF, Email by PrintFriendly <= 5.5.10 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'content_position_css' Parameter

MEDIUM PLUGIN

premium-addons-for-elementor

Premium Addons for Elementor <= 4.11.84 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'premium_tooltip_text' Parameter

MEDIUM PLUGIN

starboard-suite-reservation-calendars

Starboard Suite Reservation Calendars <= 3.1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

themify-builder

Themify Builder <= 7.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'height_slider' Slider Module Field

MEDIUM PLUGIN

themify-builder

Themify Builder <= 7.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Map Module 'b_width_map' Field

HIGH PLUGIN

form-vibes

Form Vibes <= 1.5.2 - Unauthenticated Stored Cross-Site Scripting via Contact Form 7 Form Field

HIGH PLUGIN

squirrly-seo

SEO Plugin by Squirrly SEO <= 14.0.0 - Unauthenticated Arbitrary Post Creation and Stored Cross-Site Scripting via savePost()

MEDIUM PLUGIN

wc-multivendor-marketplace

WCFM Marketplace <= 3.7.3 - Authenticated (Vendor+) Stored Cross-Site Scripting via Attachment 'post_title'

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad