TL;DR

On 30 January 2026 a DOM-based stored Cross‑Site Scripting (XSS) issue affecting NextGEN Gallery versions <= 3.59.11 (CVE‑2025‑2537) was disclosed by researcher Webbernaut and fixed in 3.59.12. A malicious contributor account can persist payloads in gallery metadata that are later interpreted unsafely by client-side ThickBox code, leading to script execution in visitors’ browsers — including editors or administrators who interact with gallery items. The CVSS is 6.5. Exploitation requires an authenticated contributor account and user interaction, but real risk exists for multi-author, membership, and community sites that accept uploads from untrusted users.

Si ejecuta NextGEN Gallery, actualice a 3.59.12 de inmediato. Si no puede actualizar de inmediato, aplique las mitigaciones descritas a continuación (endurecimiento, parcheo virtual a través de su WAF, detección y respuesta a incidentes) para reducir el riesgo.

Por qué esto es importante (en inglés sencillo)

NextGEN Gallery es ampliamente utilizado. El problema surge porque los metadatos proporcionados por los contribuyentes se almacenan y luego se utilizan como entrada para el script de lightbox ThickBox. ThickBox procesa el contenido de maneras que pueden ejecutar HTML/JS dinámico si ese contenido no está correctamente escapado. Un atacante con privilegios de Contribuidor puede inyectar cargas útiles persistentes en los campos de la galería; cuando un usuario con privilegios más altos o cualquier visitante activa la visualización vulnerable, la carga útil se ejecuta en su navegador.

Consecuencias: robo de sesión, toma de control de cuenta, spam persistente o redirección, malware del lado del cliente, o abuso de sesiones de administrador para cambiar el contenido del sitio. En sitios colaborativos de Hong Kong o portales comunitarios regionales donde los contribuyentes son comunes, esta es una amenaza realista.

Resumen técnico

• Tipo de vulnerabilidad: Cross‑Site Scripting (XSS) almacenado basado en DOM
• Software afectado: Plugin NextGEN Gallery para WordPress
• Versiones afectadas: <= 3.59.11
• Corregido en: 3.59.12
• CVE: CVE‑2025‑2537
• Privilegio requerido: Contribuyente (autenticado)
• CVSS (informativo): 6.5 (Interacción del usuario requerida)

Cómo funciona (conceptualmente)

• Un Contribuidor puede agregar/editar metadatos de la galería (título, descripción, campos de enlace).
• El plugin almacena esos metadatos en la base de datos.
• Cuando se renderiza la galería, el código del plugin o ThickBox construye fragmentos o atributos del DOM utilizando datos almacenados sin un escape consciente del contexto suficiente.
• Cuando un visitante o administrador interactúa con la interfaz de usuario de la galería, ThickBox procesa los fragmentos y el navegador puede ejecutar HTML/JS proporcionado por el atacante — convirtiendo esto en un XSS almacenado basado en DOM persistente.

Nota: XSS basado en DOM comúnmente involucra APIs como innerHTML, document.write, o la construcción de cadenas HTML con controladores de eventos. La solución 3.59.12 aborda el uso inseguro del lado del cliente y/o desinfecta valores antes de la inyección.

Escenarios de ataque realistas

1. Pequeño sitio editorial con Contribuidores
   Un contribuidor sube imágenes y establece un pie de foto de galería elaborado. Un editor o administrador más tarde ve o previsualiza la galería; el script inyectado se ejecuta y roba cookies de sesión o utiliza la sesión del administrador para hacer cambios.
2. Sitio de membresía o comunidad
   Los atacantes crean galerías con scripts persistentes dirigidos a miembros que han iniciado sesión. Cuando los miembros ven galerías, los navegadores ejecutan cargas útiles que roban credenciales o realizan acciones no deseadas.
3. Envíos públicos
   Los sitios que aceptan envíos externos son objetivos atractivos: los contribuyentes suben medios y elaboran metadatos para persistir cargas útiles que se activan cuando los visitantes abren lightboxes.

Incluso con “solo Contribuidor” requerido, esto se convierte en un riesgo mayor cuando los usuarios privilegiados interactúan con el contenido — un patrón común en plataformas colaborativas.

Acciones inmediatas para los propietarios del sitio (priorizadas)

1. Actualiza NextGEN Gallery a la versión 3.59.12 (o posterior) — haz esto ahora si puedes. Este es el paso más importante.
2. Si no puede actualizar de inmediato:
   • Desactiva temporalmente NextGEN Gallery.
   • O desactiva las características de ThickBox si el plugin ofrece esa configuración.
3. Limita las capacidades de los colaboradores:
   • Impide que los contribuyentes suban archivos hasta que se aplique el parche.
   • Restringe quién puede crear o editar galerías.
   • Revoca temporalmente el rol de Contribuidor a usuarios no confiables.
4. Aplica parches virtuales a través de tu Firewall de Aplicaciones Web (WAF) donde sea posible — consulta la guía de WAF a continuación.
5. Escanea tu base de datos en busca de scripts inyectados y limpia cualquier entrada maliciosa (ver sección de detección).
6. Fuerza restablecimientos de contraseña para cuentas de mayor privilegio si encuentras explotación confirmada.

Cómo un WAF puede mitigar esto de inmediato

Un WAF (Firewall de Aplicaciones Web) puede proporcionar parches virtuales mientras actualizas. Usa reglas genéricas y bien probadas y prueba en modo de monitoreo antes de bloquear para evitar falsos positivos.

Comportamientos de reglas sugeridos (conceptuales)

• Block POST/PUT requests to gallery save endpoints that contain suspicious content patterns such as
  Revisa Mi Pedido

  0

  Subtotal

  Impuestos y envío calculados en la caja

  Pagar