| Nombre del plugin | Link Hopper |
|---|---|
| Tipo de vulnerabilidad | Scripting entre sitios (XSS) |
| Número CVE | CVE-2025-15483 |
| Urgencia | Baja |
| Fecha de publicación de CVE | 2026-02-13 |
| URL de origen | CVE-2025-15483 |
Urgente: XSS almacenado en Link Hopper (<= 2.5) — Lo que los propietarios y desarrolladores de sitios de WordPress necesitan saber
Fecha: 13 de febrero de 2026
Autor: Experto en seguridad de Hong Kong
Resumen
Se ha divulgado una vulnerabilidad de scripting entre sitios autenticada almacenada (XSS) (CVE-2025-15483) en el plugin Link Hopper (versiones hasta e incluyendo 2.5). Un administrador autenticado puede inyectar HTML/JavaScript en el campo hop_name que luego se renderiza sin el escape apropiado. Aunque la explotación requiere privilegios de administrador, el XSS almacenado que se ejecuta en un contexto administrativo puede llevar al robo de sesiones, creación de puertas traseras, desfiguración del sitio y más compromisos.
TL;DR — Acciones inmediatas
- Verifique si Link Hopper está instalado y confirme la versión. Trate las versiones ≤ 2.5 como vulnerables.
- Si no hay un parche del proveedor disponible, considere deshabilitar o eliminar el plugin hasta que se publique una versión segura.
- Limite el acceso administrativo: revise las cuentas de administrador, imponga contraseñas fuertes, habilite MFA donde sea posible.
- Search the database for hop_name entries containing HTML,
