Vulnerabilidad en el plugin Ultimate Member de WordPress (CVE-2026-11766)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2026
Última modificación:
06/07/2026
Descripción
El plugin Ultimate Member de WordPress, en versiones anteriores a la 2.12.0, no depura ni escapa correctamente el valor de los campos de perfil de tipo textarea personalizados antes de mostrarlo en los perfiles de usuario, lo que permite a los usuarios autenticados con acceso de nivel «Suscriptor» o superior almacenar código JavaScript que se ejecuta cuando cualquier usuario, incluido un administrador, visualiza el perfil afectado.
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA



