Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el plugin de WordPress Simple Membership (CVE-2026-11855)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/07/2026
Última modificación:
06/07/2026

Descripción

El plugin de WordPress Simple Membership, en versiones anteriores a la 4.7.5, no verifica la autenticidad de las solicitudes de webhook de Stripe cuando no se ha configurado ningún secreto de firma, ni escapa los valores extraídos de dichas solicitudes antes de mostrarlos en un aviso para el administrador, lo que permite a atacantes no autenticados inyectar scripts web arbitrarios que se ejecutan en el contexto de un administrador que ha iniciado sesión.

Referencias a soluciones, herramientas e información