Recopilación de vulnerabilidades WordPress.

Bridge Core <= 3.2.0 – XSS almacenado autenticado (Contribuidor+) a través de Shortcode

El plugin Bridge Core para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘formforall’ en versiones hasta, e incluyendo, 3.2.0 debido a una insuficiente sanitización de entradas y escape de salidas en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión disponible del plugin Bridge Core (superior a la versión 3.2.0) para evitar posibles ataques de Cross-Site Scripting almacenado. Además, se recomienda a los administradores del sitio web implementar una política estricta de seguridad de contraseñas para evitar que las cuentas con permisos de contribuidor sean comprometidas.
Es fundamental mantener actualizados todos los plugins y temas de WordPress instalados en un sitio web y seguir las mejores prácticas de seguridad para reducir el riesgo de ser víctima de ataques de XSS almacenado u otras vulnerabilidades conocidas.

Related Article