Plugin de WordPress vulnerable a Stored Cross-Site Scripting

La extensión SlimStat Analytics diseñada como un plugin para la plataforma de gestión de contenido WordPress presenta una vulnerabilidad de Stored Cross-Site Scripting, representando un sustancial riesgo para la seguridad e integridad de los sitios web.

WordPress es un sistema de gestión de contenido (CMS) que permite crear y mantener sitios web, su popularidad se debe a su facilidad de uso, personalización y la amplia gama de recursos disponibles.

Esta vulnerabilidad, identificado como CVE-2023-4599, posee una puntuación de 6.4  y ha sido calificado como una amenaza de severidad media.

La esencia de esta vulnerabilidad radica en la posibilidad de llevar a cabo ataques de Stored Cross-Site Scripting entre sitios web a través del código corto ‘eeb_mailto’, en términos concretos, debido a la falta de medidas adecuadas para purificar los datos de entrada y salida, los atacantes con permisos de colaborador y superiores pueden infectar paginas web para que inyecten scripts web arbitrarios por cada acceso.

Productos y versiones afectadas:

  • email-encoder-bundle versión 2.1.7 y anteriores 

Solución:

  • email-encoder-bundle versión 2.1.8 y superiores

Recomendaciones:

Se recomienda encarecidamente a los usuarios que actualicen a las ultimas versiones para mitigar el riesgo asociado con esta vulnerabilidad.

Referencias: