Plataforma
wordpress
Componente
everest-forms-pro
Corregido en
1.9.11
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin Everest Forms Pro. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios. Afecta a las versiones del plugin desde n/a hasta 1.9.10, y ha sido solucionada en la versión 1.9.13.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario que visite una página que contenga el script inyectado. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad de la información confidencial de los usuarios y dañar la reputación del sitio web.
Esta vulnerabilidad fue publicada el 19 de marzo de 2026. No se han reportado campañas de explotación activas conocidas públicamente. No se ha añadido a KEV. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Websites utilizing Everest Forms Pro, particularly those with user-submitted form data, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromised installation could potentially impact other sites on the same server.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/everest-forms-pro/*• generic web:
curl -I https://your-wordpress-site.com/form-page | grep -i content-security-policy• wordpress / composer / npm:
wp plugin list --status=inactive | grep everest-forms-prodisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.9.13 de Everest Forms Pro. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una WAF (Web Application Firewall) con reglas que bloqueen la inyección de código JavaScript en los campos de formulario. Además, revise y sanee los datos de entrada de los usuarios antes de mostrarlos en la página web.
Actualizar a la versión 1.9.13, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27070 is a stored Cross-Site Scripting (XSS) vulnerability affecting Everest Forms Pro versions before 1.9.13, allowing attackers to inject malicious scripts.
You are affected if you are using Everest Forms Pro versions prior to 1.9.13. Immediately check your plugin version and upgrade if necessary.
Upgrade Everest Forms Pro to version 1.9.13 or later. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
There are currently no known active exploits or campaigns targeting this vulnerability, but its ease of exploitation makes it a potential target.
Refer to the WPEverest website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.