Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de WPBakery <= 7.7 – Cross-Site Scripting almacenado autenticado (Autor+)

La vulnerabilidad de WPBakery Visual Composer para WordPress, identificada como CVE-2024-5708, permite a atacantes autenticados inyectar scripts maliciosos en páginas web mediante el parámetro ‘link’, poniendo en riesgo la seguridad de los usuarios con roles de Autor y superiores.

La falta de sanitización adecuada de la entrada y escapado de la salida en la versión 7.7 y anteriores de WPBakery Visual Composer permite a atacantes con acceso de Autor o superior, otorgado por un Administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página, lo que abre la puerta a posibles ataques de Cross-Site Scripting almacenado.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión de WPBakery Visual Composer y limitar los permisos de los roles de usuario para reducir el riesgo de utilizar esta vulnerabilidad para llevar a cabo ataques maliciosos.

Related Article