Recopilación de vulnerabilidades WordPress.

Cognito Forms <= 2.0.6 – Cross-Site Scripting Almacenado Autenticado (Contribuidor+) a través del parámetro id

Se ha descubierto una vulnerabilidad en el plugin Cognito Forms para WordPress que permite a atacantes autenticados con nivel de acceso de ‘Contribuidor’ o superior, inyectar scripts web arbitrarios en páginas específicas.

La vulnerabilidad viene dada por la insuficiente sanitización de la entrada y escape de la salida del parámetro ‘id’ en todas las versiones hasta la 2.0.6 del plugin Cognito Forms. Esto permite a los atacantes almacenar y ejecutar scripts maliciosos en las páginas afectadas, comprometiendo la seguridad de los usuarios que accedan a ellas.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Cognito Forms tan pronto como sea posible. Además, se aconseja seguir buenas prácticas de seguridad, como limitar el acceso de los usuarios a funciones innecesarias y mantener un monitoreo constante de actividades sospechosas en el sitio web.

Related Article