Fuente base de datos: Wordfence Intelligence

Extra Settings for RocketChat <= 0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes (Cross-Site Scripting (XSS))

PLUGIN MEDIUM CVE-2026-8841

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Extra Settings for RocketChat, que permite a usuarios autenticados con rol de colaborador y superior inyectar scripts maliciosos. Esta falla puede comprometer la seguridad del sitio y la integridad de los datos de los usuarios.

Contexto técnico

La vulnerabilidad se presenta a través de los atributos de shortcode, permitiendo que un atacante autenticado inserte código JavaScript malicioso. La superficie de ataque se limita a los usuarios que tienen permisos de contribuidor o superiores, lo que requiere que el atacante tenga acceso al panel de administración.

Impacto potencial

El impacto en el negocio puede incluir la manipulación de datos de usuarios y la posible pérdida de confianza por parte de los clientes. Además, la explotación de esta vulnerabilidad puede llevar a un acceso no autorizado a la información sensible del sitio.

Vector de explotación

La explotación se realiza mediante la inserción de scripts maliciosos en los atributos de shortcode, que son ejecutados en el navegador de otros usuarios que visualizan el contenido afectado.

Mitigación recomendada

Actualizar el plugin Extra Settings for RocketChat a la versión 0.1 o superior. Revisar los permisos de usuario para limitar el acceso a roles no necesarios. Implementar medidas de seguridad adicionales, como la validación de entrada y el uso de Content Security Policy (CSP).

Señales de detección

Señales de riesgo incluyen logs de actividad inusuales de usuarios autenticados y cambios no autorizados en los shortcodes utilizados en el contenido.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 0.1. No se han confirmado otros escenarios de explotación fuera de este contexto.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

epaperflip-publisher

ePaperFlip Publisher <= 1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'publicationid' Shortcode Attribute

MEDIUM PLUGIN

wp-gdpr-cookie-consent

WP GDPR Cookie Consent <= 1.0.0 - Authenticated (Subscriber+) Stored Cross-Site Scripting via 'ninja_gdpr_ajax_actions' AJAX Action

MEDIUM PLUGIN

wp-ultimate-map

WP-Ultimate-Map <= 1.1 - Cross-Site Request Forgery to Stored Cross-Site Scripting via 'zoom-level' Parameter

MEDIUM PLUGIN

wp-emoticon-rating

WP Emoticon Rating <= 1.0.1 - Cross-Site Request Forgery to Reflected Cross-Site Scripting via 'emo_settings' Parameter

MEDIUM PLUGIN

romancart-ecommerce

RomanCart Ecommerce <= 2.0.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

global-body-mass-index-calculator

Global Body Mass Index Calculator <= 1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

360crest-themeone-tinymce-shortcodes

TinyMCE shortcode Addon <= 1.0.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'btnrel' Shortcode Attribute

MEDIUM PLUGIN

kk-blog-card

kk blog card <= 1.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto