Fuente base de datos: Wordfence Intelligence

Global Body Mass Index Calculator <= 1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes (Cross-Site Scripting (XSS))

PLUGIN MEDIUM CVE-2026-8883

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Global Body Mass Index Calculator, afectando a versiones hasta la 1.2. Este fallo permite la ejecución de scripts maliciosos a través de atributos de shortcode, lo que puede comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se presenta en el componente Global Body Mass Index Calculator, específicamente en la forma en que gestiona los atributos de shortcode. Esto permite a un usuario autenticado con rol de colaborador o superior inyectar scripts maliciosos, afectando a otros usuarios que visualicen el contenido modificado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el navegador de otros usuarios, lo que puede llevar al robo de información sensible o a la manipulación de la interfaz de usuario. Esto podría afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación suele realizarse mediante la inyección de código JavaScript a través de atributos de shortcode, lo que requiere que un usuario autenticado modifique el contenido del plugin.

Mitigación recomendada

Actualizar el plugin Global Body Mass Index Calculator a la versión 1.2 o superior. Revisar y sanitizar todos los atributos de shortcode utilizados en el plugin. Implementar políticas de seguridad de contenido (CSP) para mitigar el riesgo de ejecución de scripts no autorizados. Realizar auditorías de seguridad periódicas para identificar posibles vectores de ataque.

Señales de detección

Señales que pueden indicar la explotación incluyen logs de actividad inusuales de usuarios autenticados y cambios inesperados en el contenido del shortcode.

Alcance afectado

Las versiones del plugin Global Body Mass Index Calculator hasta la 1.2 están afectadas. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

epaperflip-publisher

ePaperFlip Publisher <= 1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'publicationid' Shortcode Attribute

MEDIUM PLUGIN

wp-gdpr-cookie-consent

WP GDPR Cookie Consent <= 1.0.0 - Authenticated (Subscriber+) Stored Cross-Site Scripting via 'ninja_gdpr_ajax_actions' AJAX Action

MEDIUM PLUGIN

extra-settings-for-rocketchat

Extra Settings for RocketChat <= 0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

wp-ultimate-map

WP-Ultimate-Map <= 1.1 - Cross-Site Request Forgery to Stored Cross-Site Scripting via 'zoom-level' Parameter

MEDIUM PLUGIN

wp-emoticon-rating

WP Emoticon Rating <= 1.0.1 - Cross-Site Request Forgery to Reflected Cross-Site Scripting via 'emo_settings' Parameter

MEDIUM PLUGIN

romancart-ecommerce

RomanCart Ecommerce <= 2.0.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

360crest-themeone-tinymce-shortcodes

TinyMCE shortcode Addon <= 1.0.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'btnrel' Shortcode Attribute

MEDIUM PLUGIN

kk-blog-card

kk blog card <= 1.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto