Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de XSS (Cross-Site Scripting) en el Plugin RSS Icon Widget <= 5.2 para WordPress

El plugin RSS Icon Widget para WordPress es vulnerable a XSS almacenado a través del parámetro ‘link_color’ en todas las versiones hasta, e incluyendo, la 5.2 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados, con acceso de nivel administrador, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.

La vulnerabilidad CVE-2024-12203 permite a un atacante autorizado inyectar código malicioso en las páginas de un sitio web de WordPress si tiene privilegios de administrador. Los usuarios afectados deben actualizar a la última versión del plugin RSS Icon Widget tan pronto como sea posible para evitar posibles ataques de XSS almacenado. Además, se recomienda a los usuarios configurar medidas adicionales de seguridad, como limitar el acceso de administrador solo a usuarios confiables y monitorear regularmente sus sitios en busca de actividad maliciosa.
Es crucial para los administradores de sitios web de WordPress mantener sus plugins actualizados y seguir las mejores prácticas de seguridad para proteger sus sitios de posibles vulnerabilidades como XSS almacenado. La prevención es fundamental para evitar ataques cibernéticos y proteger la integridad de los datos de los usuarios.

Related Article