Saltar al contenido

Fuente base de datos: Wordfence Intelligence

VikBooking Hotel Booking Engine & PMS <= 1.8.8 - Unauthenticated Stored Cross-Site Scripting via 'special_requests' Parameter (Cross-Site Scripting (XSS)) - version 1.8.9

PLUGIN HIGH CVE-2026-6818

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin VikBooking, que afecta a las versiones hasta la 1.8.8. Esta falla permite a atacantes no autenticados inyectar scripts maliciosos, comprometiendo la seguridad de los usuarios y la integridad del sistema.

Contexto técnico

La vulnerabilidad se encuentra en el parámetro 'special_requests', que no valida adecuadamente la entrada del usuario. Esto permite que un atacante envíe datos manipulados sin necesidad de autenticación, exponiendo la aplicación a ataques XSS.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en el robo de información sensible de los usuarios, alteración de la experiencia del cliente y daños a la reputación del negocio. La severidad de este fallo, con un CVSS de 7.2, indica un riesgo alto que debe ser abordado con urgencia.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas al endpoint afectado, lo que les permite ejecutar scripts en el navegador de otros usuarios que visiten la misma página.

Mitigación recomendada

Actualizar el plugin VikBooking a la versión 1.8.9 o superior para corregir la vulnerabilidad. Realizar una auditoría de seguridad en la instalación para identificar posibles exploits previos. Implementar medidas de seguridad adicionales, como la validación de entradas y el uso de Content Security Policy (CSP).

Señales de detección

Revisar los logs del servidor en busca de entradas inusuales en el parámetro 'special_requests' y observar cualquier actividad sospechosa relacionada con la ejecución de scripts en el navegador.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.8.9 del plugin VikBooking. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.8.8 - Unauthenticated Stored Cross-Site Scripting via Booking Form Email Field

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.8.12 - Reflected Cross-Site Scripting via 'layoutstyle' Parameter

HIGH PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.8.9 - Unauthenticated Stored Cross-Site Scripting

HIGH PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.8.8 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.7.1 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.6.7 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking Hotel Booking Engine & PMS <= 1.5.11 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

vikbooking

VikBooking <= 1.5.8 - Reflected Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad