Recopilación de vulnerabilidades WordPress.

Campos Meta de Categoría y Taxonomía <= 1.0.0 – Cross-Site Scripting Almacenado Autenticado (Administrador+)

Se ha identificado una vulnerabilidad de Cross-Site Scripting almacenado en el plugin Category and Taxonomy Meta Fields para WordPress, que afecta a las versiones hasta, e incluyendo, la 1.0.0. Esta vulnerabilidad permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web arbitrarios en las páginas, lo que podría comprometer la seguridad de los usuarios del sitio web.

El plugin Category and Taxonomy Meta Fields es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘new_meta_name’ en la función ‘wpaft_option_page’ en versiones hasta, e incluyendo, la 1.0.0 debido a una insuficiente sanitización de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de administrador o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se haya deshabilitado unfiltered_html.
Se recomienda a los usuarios del plugin Category and Taxonomy Meta Fields que actualicen a la última versión disponible lo antes posible para mitigar el riesgo de explotación de esta vulnerabilidad. Además, se sugiere implementar medidas de seguridad adicionales, como limitar el acceso de los usuarios con roles de administrador y revisar regularmente la configuración de seguridad del sitio para prevenir futuros ataques de este tipo.

Related Article