El día lunes, 25 de Octubre del 2021, se publicó una vulnerabilidad de Cross-Site Scripting (XSS) que afecta al plugin de WordPress Ninja Tables con versión menor o igual a la 4.1.7.
Este plugin es utilizado por más de 70,000 páginas de WordPress, del cual el 100% de sitios son vulnerables, debido a que la versión más actual es la 4.1.7.
XSS Almacenado (Persistente)
Este tipo de Cross-site Scripting es el más peligroso de los dos tipos de XSS (almacenado y reflectivo), debido a que un atacante puede inyectar código malicioso diréctamente a una aplicación web vulnerable; Al ser explotada esta vulnerabilidad se ve en riesgo tanto la disponibilidad, como la integridad y la confidencialidad de la infromación. Un ataque de XSS puede llegar a mostrar información sensible, como también puede modificarla. En caso de ser información sensible sobre una aplicación web, se puede llegar a inyectar código arbitrario, comprometiendo el sitio por completo.
A continuación, se listan las versiones afectadas por la vulnerabilidad:
- Ninja Tables menor o igual a 4.1.7
Por el momento no hay remediación ni workaround de la vulnerabilidad por lo que se recomienda no usar el plugin hasta que se actualice a una versión más segura.