Saltar al contenido

Fuente base de datos: Wordfence Intelligence

GiveWP <= 4.16.3 - Authenticated (Give Worker+) Stored Cross-Site Scripting via 'twitter_message' Sequoia Template Setting (Cross-Site Scripting (XSS)) - version 4.16.4

PLUGIN MEDIUM CVE-2026-14987

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin GiveWP hasta la versión 4.16.3, que permite a un atacante autenticado inyectar scripts maliciosos a través de la configuración de 'twitter_message'. Esta falla puede comprometer la integridad de los datos y la seguridad del sitio.

Contexto técnico

La vulnerabilidad se presenta en el componente GiveWP, específicamente en la configuración del Sequoia Template. Un atacante autenticado puede manipular el campo 'twitter_message' para inyectar código JavaScript, lo que facilita ataques XSS al interactuar con usuarios que visualizan la información afectada.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts en el contexto del navegador de los usuarios, comprometiendo así la confidencialidad de la información y la confianza en la plataforma. Esto puede resultar en pérdida de datos, suplantación de identidad y daños a la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la inyección de código malicioso en el campo 'twitter_message', accesible para usuarios autenticados que gestionan configuraciones del plugin.

Mitigación recomendada

Actualizar el plugin GiveWP a la versión 4.16.4 o superior para cerrar la vulnerabilidad. Revisar y limpiar cualquier configuración existente que pueda haber sido manipulada. Monitorear los registros de actividad para detectar accesos inusuales o intentos de explotación.

Señales de detección

Señales de riesgo incluyen registros de cambios no autorizados en la configuración del plugin y actividad inusual de usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.16.4. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

give

GiveWP <= 4.16.1 - Authenticated (Give Worker+) Stored Cross-Site Scripting via Sequioa Form

MEDIUM PLUGIN

give

GiveWP <= 4.16.0 - Authenticated (Author+) Stored Cross-Site Scripting via 'block_id' Shortcode Attribute

HIGH PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 4.14.5 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 4.14.2 - Reflected Cross-Site Scripting

HIGH PLUGIN

give

GiveWP - Donation Plugin and Fundraising Platform <= 4.13.0 - Unauthenticated Stored Cross-Site Scripting via 'name'

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 4.5.0 - Authenticated (GiveWP worker+) Stored Cross-Site Scripting

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 3.18.0 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 3.12.0 - Reflected Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad