Fuente base de datos: Wordfence Intelligence

Appointment Booking Calendar <= 1.4.4 - Authenticated (Author+) Stored Cross-Site Scripting via Custom Booking Field Label en Creavi Booking Service (Cross-Site Scripting (XSS)) - version 1.4.5

PLUGIN MEDIUM CVE-2026-1856

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Creavi Booking Service, afectando a versiones hasta la 1.4.4. Este fallo permite la ejecución de scripts maliciosos, lo que puede comprometer la seguridad y la integridad de los datos del usuario.

Contexto técnico

El fallo se encuentra en el campo de etiqueta de reserva personalizado, donde un atacante autenticado puede inyectar código JavaScript. Esto se traduce en un vector de ataque que se puede explotar a través de formularios de entrada de datos, comprometiendo así la seguridad del sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts maliciosos en el navegador de otros usuarios, poniendo en riesgo la confidencialidad y la integridad de la información. Esto podría resultar en la pérdida de datos sensibles y dañar la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando datos manipulados a través de formularios que utilizan el campo de etiqueta de reserva, lo que les permite ejecutar scripts en el contexto de otros usuarios autenticados.

Mitigación recomendada

Actualizar el plugin Creavi Booking Service a la versión 1.4.5 o superior para corregir la vulnerabilidad. Realizar una auditoría de seguridad en el sitio para identificar cualquier posible explotación previa. Implementar medidas de seguridad adicionales, como la validación y sanitización de entradas de usuario.

Señales de detección

Revisar los registros de actividad del plugin en busca de entradas sospechosas en los campos de reservas. También, monitorizar la ejecución de scripts no autorizados en el navegador de los usuarios.

Alcance afectado

Las versiones del plugin Creavi Booking Service hasta la 1.4.4 están afectadas. No se han confirmado casos en versiones posteriores a la 1.4.5.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

betterdocs

BetterDocs <= 4.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'blockId' Block Attribute

MEDIUM PLUGIN

blocksy-companion

Blocksy Companion <= 2.1.45 - Authenticated (Editor+) Stored Cross-Site Scripting via 'product_description' Parameter

MEDIUM PLUGIN

themeisle-companion

Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More <= 3.0.6 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'menu-item-icon' Parameter

MEDIUM PLUGIN

services-section

Services Section Block <= 1.4.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'link' Block Attribute

MEDIUM PLUGIN

customize-my-account-for-woocommerce

SysBasics Customize My Account for WooCommerce <= 4.3.6 - Reflected Cross-Site Scripting via 'tab' Parameter

MEDIUM PLUGIN

customize-my-account-for-woocommerce

SysBasics Customize My Account for WooCommerce <= 4.3.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

powerpress

PowerPress Podcasting plugin by Blubrry <= 11.16.8 - Authenticated (Author+) Stored Cross-Site Scripting via 'embed' Episode Meta Field

MEDIUM PLUGIN

fancy-testimonials

Fancy Testimonials <= 1.0 - Authenticated (Author+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto