En este artículo, abordaremos una grave vulnerabilidad de seguridad en el plugin SiteOrigin Widgets Bundle para WordPress, que permite la ejecución de scripts maliciosos en páginas web. Los atacantes autenticados con acceso de colaborador o superior pueden aprovechar esta vulnerabilidad para inyectar scripts que se ejecutarán cuando un usuario acceda a una página comprometida.
La vulnerabilidad conocida como Cross-Site Scripting almacenada (Stored XSS) se produce debido a una falta de sanitización adecuada de la entrada de datos y a la falta de escapado de la salida en la versión 1.58.3 y anteriores del plugin. Esto permite que los atacantes inyecten scripts maliciosos a través del parámetro onclick, lo que significa que cualquier usuario que acceda a una página comprometida será vulnerable a la ejecución de estos scripts. La versión 1.58.3 ofrece una solución parcial para esta vulnerabilidad, pero aún es necesario tomar medidas para protegerse completamente.
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin SiteOrigin Widgets Bundle es una amenaza significativa para los sitios web que lo utilizan. Al seguir las soluciones mencionadas anteriormente, los usuarios pueden reducir en gran medida el riesgo de ser víctimas de ataques que aprovechen esta vulnerabilidad. Sin embargo, es importante estar alerta a cualquier actualización o nueva información sobre el parche oficial para esta vulnerabilidad y aplicarla rápidamente cuando esté disponible.