En este informe de seguridad, discutiremos una vulnerabilidad en el plugin WP Recipe Maker para WordPress que permite la ejecución de scripts maliciosos en páginas web. Esta vulnerabilidad, conocida como CVE-2024-0381, permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una de estas páginas inyectadas.
El plugin WP Recipe Maker hasta la versión 9.1.0 contiene una vulnerabilidad de Cross-Site Scripting almacenada que puede ser aprovechada a través del uso del atributo ‘tag’ en los shortcodes wprm-recipe-name, wprm-recipe-date y wprm-recipe-counter. Esto significa que un atacante autenticado con permisos de contribuidor o superiores puede insertar scripts maliciosos en las páginas que contienen estos shortcodes. Cada vez que un usuario acceda a una de estas páginas, los scripts se ejecutarán, lo que podría comprometer la seguridad y privacidad de los usuarios.
Para subsanar este problema, los usuarios deben actualizar WP Recipe Maker a una versión posterior a la 9.1.0, donde se ha corregido la vulnerabilidad de Cross-Site Scripting almacenada. Además, se recomienda a los administradores del sitio que supervisen de cerca los permisos de los usuarios y reduzcan al mínimo los privilegios de los roles de contribuidor y superiores para reducir el riesgo de ataques maliciosos.
La vulnerabilidad de Cross-Site Scripting almacenada en WP Recipe Maker <= 9.1.0 puede permitir que atacantes autenticados inyecten scripts web maliciosos en páginas del sitio. Para protegerse contra este tipo de ataques, es crucial mantener el plugin actualizado y seguir buenas prácticas de seguridad, como restringir los permisos de los usuarios y limitar los privilegios de los roles de contribuidor y superiores. Al tomar estas medidas preventivas, los propietarios de sitios web pueden garantizar la seguridad y privacidad de sus usuarios.