Recopilación de vulnerabilidades WordPress.

Herramientas comunes para Site <= 1.0.2 – Cross-Site Scripting Almacenado (Autor+) Autenticado a través de la Carga de Archivos SVG

En este informe se detalla una vulnerabilidad importante en la versión Site <= 1.0.2 que permite a usuarios autenticados con rol de autor o superior realizar ataques de Cross-Site Scripting a través de la carga de archivos SVG. Esta vulnerabilidad, identificada como CVE-2024-9115, puede tener graves implicaciones para la seguridad de los sitios web que utilicen esta versión de WordPress.

La vulnerabilidad en Site <= 1.0.2 permite a un usuario autenticado con al menos el rol de autor subir un archivo SVG malicioso que contiene código JavaScript. Una vez cargado el archivo, el código JavaScript se ejecuta en el contexto del sitio web, lo que puede permitir al atacante realizar acciones maliciosas como el robo de cookies de sesión de otros usuarios o la manipulación del contenido del sitio. Para subsanar este problema, es recomendable actualizar a la última versión de Site, que incluye una solución para esta vulnerabilidad. Además, se recomienda limitar los roles de usuario que tienen permiso para subir archivos SVG y realizar una revisión exhaustiva de cualquier archivo subido al sitio.
Es fundamental estar al tanto de las vulnerabilidades en las versiones antiguas de WordPress y tomar medidas proactivas para proteger la seguridad de los sitios web. Mantener el software actualizado, limitar los permisos de los usuarios y realizar revisiones regulares de la seguridad son pasos clave para mitigar el riesgo de ataques como el Cross-Site Scripting almacenado a través de la carga de archivos SVG.

Related Article