La extensión SlimStat Analytics diseñada como un plugin para la plataforma de gestión de contenido WordPress presenta una vulnerabilidad de Stored Cross-Site Scripting, representando un sustancial riesgo para la seguridad e integridad de los sitios web.
WordPress es un sistema de gestión de contenido (CMS) que permite crear y mantener sitios web, su popularidad se debe a su facilidad de uso, personalización y la amplia gama de recursos disponibles.
Esta vulnerabilidad, identificado como CVE-2023-4599, posee una puntuación de 6.4 y ha sido calificado como una amenaza de severidad media.
La esencia de esta vulnerabilidad radica en la posibilidad de llevar a cabo ataques de Stored Cross-Site Scripting entre sitios web a través del código corto ‘eeb_mailto’, en términos concretos, debido a la falta de medidas adecuadas para purificar los datos de entrada y salida, los atacantes con permisos de colaborador y superiores pueden infectar paginas web para que inyecten scripts web arbitrarios por cada acceso.
Productos y versiones afectadas:
- email-encoder-bundle versión 2.1.7 y anteriores
Solución:
- email-encoder-bundle versión 2.1.8 y superiores
Recomendaciones:
Se recomienda encarecidamente a los usuarios que actualicen a las ultimas versiones para mitigar el riesgo asociado con esta vulnerabilidad.
Referencias:
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/email-encoder-bundle/email-encoder-217-authenticated-contributor-stored-cross-site-scripting-via-shortcode
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4599
- https://www.webempresa.com/wordpress/que-es-wordpress.html
- https://www.cve.org/CVERecord?id=CVE-2023-4599
- https://vuldb.com/es/?id.238002