Fuente base de datos: Wordfence Intelligence

Multiple Plugins <= (Various Versions) - Authenticated (Contributor+) Stored DOM-Based Cross-Site Scripting via prettyPhoto JavaScript Library

PLUGIN MEDIUM CVE-2025-2540

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en múltiples versiones del plugin WP Video Lightbox. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través de la biblioteca JavaScript prettyPhoto.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la entrada de datos, permitiendo que se inyecten scripts en el DOM. Esto se produce cuando se utilizan funciones de JavaScript sin la debida validación o sanitización de la entrada, exponiendo así la superficie de ataque a usuarios con privilegios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría llevar al robo de información sensible o manipulación del contenido visualizado por los usuarios. Esto podría afectar la reputación del negocio y la confianza de los clientes.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes que contienen scripts maliciosos a través de formularios o entradas que son accesibles para usuarios autenticados, especialmente aquellos con permisos de colaborador o superiores.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP Video Lightbox a la versión 1.9.12 o superior. Además, se debe implementar una validación y sanitización adecuada de todos los datos de entrada y revisar las configuraciones de permisos de usuario para limitar el acceso a funciones críticas.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en el código fuente de las páginas, comportamientos inusuales en las sesiones de usuarios autenticados y registros de actividad sospechosa en el backend del sitio.

Alcance afectado

Las versiones del plugin WP Video Lightbox anteriores a la 1.9.12 son las que se ven afectadas por esta vulnerabilidad. Es importante revisar todas las instalaciones que utilicen este plugin para evaluar su estado.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-video-lightbox

WP Video Lightbox <= 1.9.10 - Authenticated (Contributor+) Stored Cross-Site Scripting via width Parameter

MEDIUM PLUGIN

wp-video-lightbox

WP Video Lightbox <= 1.9.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

wp-video-lightbox

Video Lightbox <= 1.9.5 - Authenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

wp-video-lightbox

WP Video Lightbox <= 1.9.4 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

wp-video-lightbox

WP Video Lightbox <= 1.9.2 - Contributor+ Stored Cross-Site Scripting

MEDIUM PLUGIN

wp-video-lightbox

PrettyPhoto Library (Multiple Plugins and Themes) <= 3.1.4 - DOM Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto