WordPress Core < 6.0.3 - Stored Cross-Site Scripting via wp-mail.php

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el núcleo de WordPress, que afecta a versiones anteriores a la 6.0.3. Esta vulnerabilidad permite la inyección de scripts maliciosos a través del archivo wp-mail.php.

Contexto técnico

El fallo se origina en el manejo inadecuado de entradas en el archivo wp-mail.php, que permite a un atacante almacenar scripts maliciosos que se ejecutan en el navegador de un usuario cuando se accede a la página afectada. Esto expone a los usuarios a riesgos de suplantación de identidad y robo de información.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los atacantes ejecutar código arbitrario en el contexto del navegador del usuario. Esto podría resultar en la pérdida de datos, compromisos de cuentas y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando correos electrónicos manipulados o mediante la inserción de enlaces maliciosos que, al ser abiertos por un usuario, ejecutan el código malicioso almacenado.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar WordPress a la versión 6.0.3 o superior. Además, es aconsejable implementar medidas de seguridad adicionales, como la validación de entradas y la utilización de plugins de seguridad que ayuden a detectar y bloquear ataques XSS.

Señales de detección

Señales que pueden indicar un intento de explotación incluyen la aparición de scripts no autorizados en el código fuente de las páginas, así como comportamientos inusuales en los formularios de contacto o en las interacciones de correo electrónico.

Alcance afectado

Las versiones de WordPress anteriores a la 6.0.3 son las que se ven afectadas por esta vulnerabilidad. Se recomienda a los administradores de sitios web que verifiquen la versión en uso y actualicen si es necesario.