Resumen

Se ha divulgado públicamente una vulnerabilidad de Cross‑Site Scripting (XSS) almacenado que afecta a las versiones ≤ 2.0 del plugin de WordPress “Surbma | MiniCRM Shortcode” (CVE‑2025‑11800). La falla permite a un usuario autenticado con el rol de Contribuyente inyectar JavaScript persistente en el contenido renderizado por el plugin. Dado que se trata de XSS almacenado, la carga maliciosa se guarda en el sitio y se ejecuta en el navegador de cualquier usuario que vea la página afectada, incluidos administradores y editores. La puntuación CVSS es 6.5 (media), pero el impacto en el mundo real varía según el uso del sitio y los visitantes.

Este aviso:

• Explica la vulnerabilidad y los escenarios de explotación en un lenguaje sencillo.
• Enumera las acciones inmediatas que los propietarios de sitios deben tomar.
• Proporciona orientación técnica para la detección y mitigación (neutral al proveedor).
• Ofrece mejores prácticas de codificación segura para desarrolladores de plugins y administradores.

¿Qué pasó? — Lenguaje sencillo

The plugin renders content provided by authenticated users (Contributor role and above) into pages via a shortcode or similar output. The vulnerability occurs because certain user‑supplied fields are output as HTML without proper sanitization or escaping. A Contributor can submit markup (including