WordPress Core < 3.9.2 - Authenticated Cross-Site Scripting via Avatar URL

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el núcleo de WordPress, que afecta a versiones anteriores a la 3.9.2. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos a través de la URL del avatar del usuario.

Contexto técnico

El fallo se origina en la forma en que WordPress gestiona las URLs de los avatares. Un atacante que ya tenga acceso a una cuenta puede manipular la URL del avatar para incluir código JavaScript, lo que podría ejecutarse en el navegador de otros usuarios que visualicen el avatar.

Impacto potencial

El impacto de esta vulnerabilidad, aunque clasificado como bajo, puede permitir a un atacante ejecutar scripts en el contexto de la sesión del usuario, lo que podría llevar al robo de información sensible o a la realización de acciones no autorizadas en la cuenta de otros usuarios.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la modificación de la URL del avatar de un usuario autenticado, lo que permite que el script malicioso se ejecute en el navegador de otros usuarios que interactúan con la interfaz de WordPress.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar a la versión 3.9.2 o superior de WordPress. Además, se sugiere implementar medidas de hardening en la configuración de usuarios y permisos, limitando el acceso a cuentas de confianza.

Señales de detección

Señales de posible explotación incluyen cambios inusuales en las URLs de los avatares de usuarios, así como la aparición de scripts no autorizados en las páginas que muestran avatares.

Alcance afectado

Las versiones de WordPress afectadas son todas las anteriores a la 3.9.2, siendo la versión 3.7.4 la última en la que se corrigió este problema.