La vulnerabilidad CVE-2023-6486 afecta al plugin Spectra – WordPress Gutenberg Blocks para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del metabox de CSS personalizado.
La falta de saneamiento de entrada y escape de salida en el plugin Spectra – WordPress Gutenberg Blocks hasta la versión 2.10.3 permite a atacantes autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página afectada. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, 2.10.4, la cual corrige esta vulnerabilidad. Además, se aconseja a los administradores limitar los permisos de los usuarios, de modo que solo los roles necesarios tengan acceso al metabox de CSS personalizado.
Es fundamental mantener actualizados todos los plugins de WordPress para protegerse de vulnerabilidades como la explotada en Spectra – WordPress Gutenberg Blocks <= 2.10.3. La prevención y la gestión adecuada de permisos de usuario son clave para garantizar la seguridad de un sitio web en WordPress.