Vulnerabilidad en WordPress Frontend Post Submission Manager Lite (CVE-2026-1296)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
18/02/2026
Última modificación:
18/02/2026
Descripción
El plugin Frontend Post Submission Manager Lite para WordPress es vulnerable a la redirección abierta en todas las versiones hasta la 1.2.7, inclusive, debido a validación insuficiente en el parámetro POST 'requested_page' en la función verify_username_password. Esto hace posible para atacantes no autenticados redirigir a los usuarios a sitios potencialmente maliciosos si logran engañarlos con éxito para que realicen una acción como hacer clic en un enlace.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/frontend-post-submission-manager-lite/tags/1.2.6/includes/classes/class-fpsml-shortcode.php#L108
- https://plugins.trac.wordpress.org/browser/frontend-post-submission-manager-lite/trunk/includes/classes/class-fpsml-shortcode.php#L108
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3458652%40frontend-post-submission-manager-lite&new=3458652%40frontend-post-submission-manager-lite
- https://www.wordfence.com/threat-intel/vulnerabilities/id/92c52129-7cf5-4a1b-80a1-b01140e6a72b?source=cve