Se ha identificado una vulnerabilidad crítica en el plugin WP Activity Log para WordPress, que permite a atacantes no autenticados ejecutar scripts maliciosos en páginas web afectadas.
- CVE-2025-0924 (CVSS 7.2): Esta vulnerabilidad de tipo Stored Cross-Site Scripting (XSS) se debe a una falta de sanitización y escape adecuado en el parámetro ‘message’. Un atacante puede inyectar scripts arbitrarios en páginas web, los cuales se ejecutarán cuando un usuario acceda a la página comprometida.
Productos y versiones afectadas:
- Versiones anteriores a la 5.3.0 del plugin WP Activity Log.
Solución:
- Actualizar a la versión 5.3.0 o superior.
Recomendaciones:
- Actualizar el plugin WP Activity Log a la última versión disponible para abordar esta vulnerabilidad.
- Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF), para prevenir ataques de inyección de scripts.
- Revisar y monitorear regularmente las páginas web en busca de actividades sospechosas o contenido inyectado.
Referencias: