Fuente base de datos: Wordfence Intelligence

WordPress Core < 4.7.3 - Cross-Site Scripting via Taxonomy names

WORDPRESS MEDIUM CVE-2017-6818

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el núcleo de WordPress, que afecta a versiones anteriores a la 4.7.3. Esta vulnerabilidad puede permitir a un atacante inyectar scripts maliciosos a través de nombres de taxonomía.

Contexto técnico

El fallo se origina en la forma en que WordPress maneja los nombres de taxonomía, permitiendo la inyección de código JavaScript en el navegador de los usuarios. Esto puede ser explotado si un usuario visita una URL manipulada que incluye un nombre de taxonomía malicioso.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios finales, permitiendo a un atacante robar información sensible o realizar acciones en nombre del usuario. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante la creación de enlaces que contienen nombres de taxonomía manipulados, llevando a los usuarios a hacer clic en ellos y ejecutar el código malicioso en su navegador.

Mitigación recomendada

Actualizar WordPress a la versión 4.7.3 o superior. Además, se recomienda revisar los nombres de taxonomía existentes y aplicar medidas de seguridad adicionales como la validación y sanitización de entradas.

Señales de detección

Señales de riesgo incluyen actividad sospechosa en los registros de acceso, como accesos a URLs que contienen nombres de taxonomía inusuales o inyecciones de scripts en comentarios o entradas.

Alcance afectado

Versiones de WordPress anteriores a la 4.7.3 están afectadas. La vulnerabilidad fue corregida en la versión 4.7.3 y en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM WORDPRESS

wp-core