Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de Cross-Site Scripting almacenado en Tribute Testimonials – WordPress Testimonial Grid/Slider <= 1.0.4 para usuarios autenticados (Contributor+)

El plugin Tribute Testimonials – WordPress Testimonial Grid/Slider para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘tribute_testimonials_slider’ en todas las versiones hasta, e incluyendo, la 1.0.4 debido a una sanitización insuficiente de la entrada y a la falta de escape en la salida de los atributos suministrados por el usuario. Esto permite a los atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

La vulnerabilidad CVE-2024-10886 en el plugin Tribute Testimonials – WordPress Testimonial Grid/Slider <= 1.0.4 permite a los atacantes autenticados realizar ataques de Cross-Site Scripting almacenado, lo que puede comprometer la seguridad de un sitio web. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible que incluya un parche de seguridad. Además, se debe restringir el acceso de los usuarios con roles de contribuidor o superior para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental mantener actualizados todos los plugins de WordPress, especialmente aquellos que manejan la visualización de testimonios o comentarios en un sitio web, para prevenir vulnerabilidades de seguridad como esta. La seguridad en WordPress es responsabilidad de los propietarios del sitio y es necesario tomar medidas proactivas para proteger la integridad y la privacidad de los datos de los usuarios.

Related Article