Saltar al contenido

Fuente base de datos: Wordfence Intelligence

GiveWP <= 4.16.1 - Authenticated (Give Worker+) Stored Cross-Site Scripting via Sequioa Form (Cross-Site Scripting (XSS)) - version 4.16.2

PLUGIN MEDIUM CVE-2026-13704

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin GiveWP hasta la versión 4.16.1. Esta falla permite la inyección de scripts maliciosos a través de formularios, lo que puede comprometer la seguridad de los usuarios y la integridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en la funcionalidad de Give Worker+ del plugin GiveWP, donde un atacante autenticado puede introducir scripts maliciosos a través de formularios Sequoia. Esto se debe a una falta de sanitización adecuada de las entradas del usuario.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a un atacante ejecutar scripts en el contexto de otros usuarios, lo que podría resultar en el robo de información sensible o en la manipulación de la experiencia del usuario. Esto puede afectar la reputación del negocio y la confianza de los clientes.

Vector de explotación

La explotación se realiza mediante la creación de un formulario malicioso que, al ser enviado por un usuario autenticado, ejecuta el script en el navegador de otros usuarios que visualizan la página afectada.

Mitigación recomendada

Actualizar el plugin GiveWP a la versión 4.16.2 o posterior para corregir la vulnerabilidad. Revisar y sanitizar las entradas de formularios en el plugin para prevenir futuras inyecciones de scripts. Implementar políticas de seguridad de contenido (CSP) para limitar la ejecución de scripts no autorizados.

Señales de detección

Monitorear los logs de acceso en busca de patrones inusuales en las solicitudes de formularios, así como verificar configuraciones de seguridad que puedan haber sido modificadas.

Alcance afectado

Las versiones afectadas son todas las versiones de GiveWP hasta la 4.16.1. No se han confirmado escenarios adicionales más allá de esta versión.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

give

GiveWP <= 4.16.0 - Authenticated (Author+) Stored Cross-Site Scripting via 'block_id' Shortcode Attribute

HIGH PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 4.14.5 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 4.14.2 - Reflected Cross-Site Scripting

HIGH PLUGIN

give

GiveWP - Donation Plugin and Fundraising Platform <= 4.13.0 - Unauthenticated Stored Cross-Site Scripting via 'name'

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 4.5.0 - Authenticated (GiveWP worker+) Stored Cross-Site Scripting

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 3.18.0 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 3.12.0 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

give

GiveWP – Donation Plugin and Fundraising Platform <= 3.10.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad