Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el plugin Ultimate Member de WordPress (CVE-2026-11766)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2026
Última modificación:
06/07/2026

Descripción

El plugin Ultimate Member de WordPress, en versiones anteriores a la 2.12.0, no depura ni escapa correctamente el valor de los campos de perfil de tipo textarea personalizados antes de mostrarlo en los perfiles de usuario, lo que permite a los usuarios autenticados con acceso de nivel «Suscriptor» o superior almacenar código JavaScript que se ejecuta cuando cualquier usuario, incluido un administrador, visualiza el perfil afectado.

Referencias a soluciones, herramientas e información