Vulnerabilidades en plugins de WordPress: Nextend Social Login Pro y WPForms Lite

Se han identificado vulnerabilidades críticas en dos populares plugins de WordPress. Estas fallas permiten a atacantes eludir mecanismos de autenticación y ejecutar scripts maliciosos.

  • CVE-2025-1061 (CVSS 9.8): El plugin Nextend Social Login Pro es vulnerable a un bypass de autenticación a través del proveedor de OAuth de Apple. Debido a una verificación insuficiente durante el proceso de autenticación, un atacante no autenticado puede iniciar sesión como cualquier usuario registrado, incluyendo administradores, si tiene acceso al correo electrónico asociado.
  • CVE-2024-13403 (CVSS 6.4): El plugin WPForms Lite es vulnerable a un ataque de Cross-Site Scripting (XSS) almacenado a través del parámetro fieldHTML. La falta de sanitización y escape de datos permite a atacantes autenticados con permisos de Contributor o superior inyectar scripts maliciosos en las páginas del sitio, los cuales se ejecutan cuando un usuario accede a la página afectada.
CVEProducto AfectadoVersión AfectadaSolución
CVE-2025-1061Nextend Social Login Pro pluginVersiones anteriores a la 3.1.17Actualizar a la versión 3.1.17 o superior
CVE-2024-13403WPForms LiteVersiones anteriores a la 1.9.3.2Actualizar a la versión 1.9.3.2 o superior

Recomendaciones:

  • Actualizar inmediatamente los plugins afectados a las versiones corregidas.
  • Revisar y limitar los permisos de usuarios con roles de Contributor o superior en WordPress.
  • Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF), para mitigar posibles ataques.

Referencias: