En este artículo se abordará una vulnerabilidad de seguridad encontrada en el plugin de WordPress ‘AMP for WP – Accelerated Mobile Pages’ en su versión 1.0.92.1 y anteriores. Esta vulnerabilidad podría permitir a atacantes remotos ejecutar scripts maliciosos en páginas web, comprometiendo la seguridad de los usuarios.
La descripción de la vulnerabilidad identificada como CVE-2024-0587 establece que se trata de una falta de neutralización adecuada de la entrada durante la generación de páginas web, lo que permite la ejecución de scripts maliciosos en el lado del cliente a través del parámetro ‘disqus_name’.
La falta de desinfección de la entrada y el escape inadecuado de la salida en el archivo JS ejecutado son las causas principales de esta vulnerabilidad. Esto posibilita que un atacante no autenticado pueda inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar exitosamente a un usuario para que realice una acción, como hacer clic en un enlace.
Para subsanar esta vulnerabilidad, se recomienda actualizar a la última versión del plugin ‘AMP for WP – Accelerated Mobile Pages’, la cual ya ha corregido este problema de seguridad. Además, es importante educar a los usuarios para que sean conscientes de los riesgos potenciales y eviten hacer clic en enlaces o acceder a sitios web sospechosos.
La vulnerabilidad de Cross-Site Scripting Reflejado en Accelerated Mobile Pages <= 1.0.92.1 representa un riesgo significativo para los usuarios de WordPress que utilizan este plugin. Actualizar a la última versión del plugin y mantenerse informado sobre las mejores prácticas de seguridad en línea son pasos clave para protegerse contra este y otros riesgos de seguridad. Es fundamental recordar que la seguridad no solo depende de los desarrolladores de software, sino también de la responsabilidad individual de los usuarios para tomar medidas proactivas en cuanto a su seguridad en línea.