Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Team Member hasta la versión 4.4. Esta falla permite a usuarios autenticados con rol de Editor o superior inyectar scripts maliciosos.
Fuente base de datos: Wordfence Intelligence
Team Member <= 4.4 - Authenticated (Editor+) Stored Cross-Site Scripting via new_style_name en Team Showcase Supreme (Cross-Site Scripting (XSS)) - version 4.5
PLUGIN
MEDIUM
CVE-2023-23647
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se origina en la forma en que el plugin maneja el campo 'new_style_name', permitiendo la inyección de código JavaScript. Esto puede ser explotado a través de la interfaz de administración del plugin, lo que convierte a los usuarios autenticados en un vector de ataque.
Impacto potencial
La explotación de esta vulnerabilidad puede comprometer la integridad del sitio web, permitiendo a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación de la interfaz de usuario.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad al modificar el campo 'new_style_name' a través del panel de administración, lo que desencadena la ejecución de scripts maliciosos cuando otros usuarios acceden a la página afectada.
Mitigación recomendada
Actualizar el plugin Team Member a la versión 4.5 o superior. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales como la validación de entrada y la sanitización de datos.
Señales de detección
Señales de riesgo incluyen cambios inesperados en el contenido del plugin, reportes de comportamiento extraño en el sitio y alertas de seguridad relacionadas con XSS en logs de auditoría.
Alcance afectado
Las versiones afectadas incluyen todas las versiones del plugin Team Member hasta la 4.4. La versión 4.5 y posteriores han sido corregidas.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
post-snippets
Post Snippets <= 4.0.19 - Authenticated (Administrator+) Stored Cross-Site Scripting via Import
MEDIUM
THEME
automotive
Automotive Car Dealership Business WordPress Theme <= 13.4.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Portfolio Project Details
MEDIUM
PLUGIN
official-statcounter-plugin-for-wordpress
StatCounter <= 2.1.1 - Authenticated (Author+) Stored Cross-Site Scripting via Author Nickname
MEDIUM
PLUGIN
simple-divi-shortcode
Simple Divi Shortcode <= 1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'id' Shortcode Attribute
HIGH
PLUGIN
link-whisper
Link Whisper Free <= 0.9.0 - Unauthenticated Stored Cross-Site Scripting
MEDIUM
PLUGIN
the-plus-addons-for-elementor-page-builder
The Plus Addons for Elementor <= 6.4.15 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'carousel_direction' Parameter
HIGH
PLUGIN
login-recaptcha
Login No Captcha reCAPTCHA <= 1.8.0 - Unauthenticated Stored Cross-Site Scripting via PHP_SELF
MEDIUM
PLUGIN
new-dev-livesmart-video-chat
LiveSmart Video Chat <= 1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto