Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Widgets for Google Reviews <= 13.3 - Authenticated (Editor+) Stored Cross-Site Scripting via 'fomo-title' and 'fomo-text' Parameters en WP Reviews Plugin FOR Google (Cross-Site Scripting (XSS)) - version 13.3.1

PLUGIN MEDIUM CVE-2026-11591

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Reviews para Google, que afecta a versiones hasta la 13.3. Este fallo permite a usuarios autenticados inyectar scripts maliciosos, comprometiendo la seguridad del sitio y la integridad de los datos.

Contexto técnico

La vulnerabilidad se origina en los parámetros 'fomo-title' y 'fomo-text', donde se permite la inyección de código JavaScript sin la debida validación. Esto expone a los sitios a ataques XSS, especialmente aquellos que permiten a editores y administradores modificar contenido.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría resultar en el robo de información sensible o la manipulación de contenido. Esto afecta la confianza del usuario y la reputación del negocio.

Vector de explotación

El ataque se lleva a cabo mediante la inyección de código JavaScript en los campos vulnerables, que se ejecuta cuando otros usuarios visualizan el contenido afectado, sin requerir interacción adicional.

Mitigación recomendada

Actualizar el plugin WP Reviews para Google a la versión 13.3.1 o superior. Revisar y sanitizar todos los parámetros de entrada en el plugin para prevenir futuras inyecciones. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP), para mitigar el riesgo de XSS.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en los parámetros 'fomo-title' y 'fomo-text'. También se deben verificar cambios no autorizados en el contenido del sitio.

Alcance afectado

Las versiones del plugin WP Reviews para Google hasta la 13.3 son vulnerables. La versión 13.3.1 y posteriores han corregido esta vulnerabilidad. No se reportan casos no confirmados.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-reviews-plugin-for-google

Widgets for Google Reviews <= 13.2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via trustindex Shortcode

HIGH PLUGIN

wp-reviews-plugin-for-google

Widgets for Google Reviews <= 13.2.4 - Unauthenticated Stored Cross-Site Scripting via Google Reviews

MEDIUM PLUGIN

wp-reviews-plugin-for-google

Widgets for Google Reviews < 9.8 - Authenticated (Contributor+) Stored XSS

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad