Fuente base de datos: Wordfence Intelligence

Passster – Password Protection <= 3.5.5.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

PLUGIN MEDIUM CVE-2021-24837

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Passster, afectando a versiones hasta la 3.5.5.7. Este fallo permite la inyección de scripts maliciosos a través de shortcodes por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad se presenta en la forma en que el plugin Passster maneja los shortcodes, permitiendo que un atacante autenticado inserte código JavaScript malicioso que se ejecuta en el navegador de otros usuarios. Esto representa un vector de ataque a través de la interfaz de usuario del plugin, especialmente en entornos donde se permiten colaboraciones.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto de otros usuarios, lo que puede llevar al robo de información sensible o a la manipulación de la sesión del usuario. Esto puede afectar la confianza del usuario y la integridad de la plataforma.

Vector de explotación

La explotación de esta vulnerabilidad requiere que un atacante autenticado con rol de colaborador o superior inserte un shortcode malicioso en el contenido, que posteriormente se renderiza en la página, ejecutando el script en el navegador de otros usuarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Passster a la versión 3.5.5.8 o superior. Además, se sugiere revisar los permisos de los usuarios y limitar el acceso a la edición de contenido a roles más restrictivos cuando sea posible.

Señales de detección

Las señales de riesgo incluyen la presencia de scripts inusuales en el contenido generado por el plugin, así como comportamientos extraños en la interacción del usuario con el sitio web. También se deben monitorizar los logs de actividad de los usuarios para detectar accesos sospechosos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.5.5.8 del plugin Passster. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión actual.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

content-protector

Passster – Password Protect Pages and Content <= 4.2.24 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

content-protector

Passster <= 4.2.18 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

content-protector

Passster <= 4.2.6.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via content_protector Shortcode

MEDIUM PLUGIN

content-protector

Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto