Fuente base de datos: Wordfence Intelligence

CodePeople Post Map for Google Maps <= 1.2.6 - Authenticated (Contributor +) Stored Cross-Site Scripting via 'cpm_point' Post Meta (Cross-Site Scripting (XSS)) - version 1.2.7

PLUGIN MEDIUM CVE-2026-13335

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin CodePeople Post Map, que afecta a las versiones hasta la 1.2.6. Esta falla puede ser explotada por usuarios autenticados con rol de contribuyente o superior, lo que podría comprometer la seguridad de la instalación de WordPress.

Contexto técnico

El fallo se presenta en el manejo del meta post 'cpm_point', donde se permite la inyección de scripts maliciosos. La superficie de ataque está limitada a usuarios autenticados, lo que significa que un atacante debe tener acceso al panel de administración con permisos adecuados para explotar la vulnerabilidad.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts en el navegador de otros usuarios, lo que podría resultar en el robo de sesiones o la manipulación de datos. Aunque la severidad se clasifica como media, el impacto en la reputación y seguridad del negocio puede ser significativo si se permite que esta vulnerabilidad persista.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del campo 'cpm_point' en el meta post, afectando a otros usuarios que accedan a la misma página.

Mitigación recomendada

Actualizar el plugin CodePeople Post Map a la versión 1.2.7 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario para limitar el acceso a funciones críticas del plugin. Realizar una auditoría de seguridad para identificar posibles inyecciones de código existentes.

Señales de detección

Monitorizar los logs de acceso para detectar patrones inusuales de acceso de usuarios autenticados o cambios en los metadatos de los posts relacionados con 'cpm_point'.

Alcance afectado

Las versiones del plugin CodePeople Post Map anteriores a la 1.2.7 están afectadas. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

add-search-to-menu

Ivory Search <= 5.5.15 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'menu_title' and 'menu_magnifier_color' Settings

MEDIUM PLUGIN

maxbuttons

MaxButtons <= 9.8.5 - Reflected Cross-Site Scripting via 'view' Parameter

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.4 - Authenticated (Custom+) Stored Cross-Site Scripting via Product SKU

MEDIUM PLUGIN

surbma-infusionsoft-shortcode

Surbma | Infusionsoft Shortcode <= 2.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

siteorigin-panels

Page Builder by SiteOrigin <= 2.34.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via panels_data Parameter

MEDIUM PLUGIN

gutenverse

Gutenverse <= 3.8.0 - Authenticated (Editor+) Stored Cross-Site Scripting via 'fonts[].font.font.value' Parameter

MEDIUM PLUGIN

essential-blocks

Gutenberg Essential Blocks - Page Builder for Gutenberg Blocks & Patterns <= 6.1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'configurablePrefix' Block Attribute

HIGH PLUGIN

email-javascript-cloaker

Email JavaScript Cloak <= 1.03 - Unauthenticated Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto