Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: WPScan

Woocommerce < 9.7.1 - Shop Manager+ Stored XSS via New Product Form

PLUGIN N/A CVE-2025-26762

Fuente base: WPScan. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en WooCommerce, que afecta a versiones anteriores a la 9.7.1. Esta falla se produce a través del formulario de nuevo producto, permitiendo la inyección de scripts maliciosos.

Contexto técnico

La vulnerabilidad permite a un atacante inyectar código JavaScript en el campo de entrada del formulario de nuevo producto, lo que puede ser ejecutado por otros usuarios al visualizar la página del producto afectado. Este tipo de ataque es conocido como Cross-Site Scripting (XSS) y puede comprometer la seguridad de los usuarios que interactúan con el sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de scripts maliciosos en el navegador de los usuarios, lo que podría llevar al robo de información sensible, suplantación de identidad o redirección a sitios maliciosos. Esto podría afectar la confianza del cliente y la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando datos maliciosos a través del formulario de nuevo producto, que luego se almacenan y se muestran en el sitio, permitiendo la ejecución del script en el contexto del navegador de otros usuarios.

Mitigación recomendada

Actualizar WooCommerce a la versión 9.7.1 o superior. Además, se recomienda implementar medidas de seguridad adicionales como la validación y sanitización de entradas de usuario, así como el uso de Content Security Policy (CSP) para mitigar riesgos de XSS.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en la interacción del usuario, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador. Monitorear los registros del servidor para detectar entradas inusuales en el formulario de productos también es crucial.

Alcance afectado

Las versiones de WooCommerce anteriores a la 9.7.1 son las afectadas. Es recomendable que todos los usuarios que utilicen versiones anteriores realicen la actualización a la mayor brevedad posible.

Vulnerabilidades relacionadas

N/A PLUGIN

woocommerce

WooCommerce < 10.0.3 - Shop manager+ Stored XSS

Ver ficha
N/A PLUGIN

woocommerce

WooCommerce < 9.4.3 - Reflected XSS

Ver ficha
N/A PLUGIN

woocommerce

WooCommerce < 9.1.0 - Unauthenticated HTML Injection

Ver ficha
N/A PLUGIN

woocommerce

WooCommerce < 9.2 - Contributor+ Stored XSS

Ver ficha
N/A PLUGIN

woocommerce

WooCommerce < 9.1.4 - Stored XSS

Ver ficha
N/A PLUGIN

woocommerce

WooCommerce 8.8.0 - 8.9.2 - Reflected XSS

Ver ficha
N/A PLUGIN

woocommerce

WooCommerce < 8.4.0 - Reflected Cross-Site Scripting

Ver ficha
N/A PLUGIN

woocommerce

WooCommerce <= 8.1.1 & WooCommerce Blocks <= 11.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Featured Image alt Attribute

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad