Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get en Child Support Calculator (Cross-Site Scripting (XSS)) - version 2.0.1.2

PLUGIN MEDIUM CVE-2023-33999

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Child Support Calculator, específicamente en la versión del Freemius SDK hasta la 2.5.9. Esta vulnerabilidad permite la inyección de scripts maliciosos en las solicitudes reflejadas.

Contexto técnico

La vulnerabilidad se origina en la forma en que el Freemius SDK maneja las solicitudes, permitiendo que un atacante inyecte código JavaScript malicioso que se ejecuta en el navegador de un usuario que visita la página afectada. Esto se clasifica como un ataque de XSS reflejado, donde el script se ejecuta inmediatamente tras la interacción del usuario con un enlace o formulario manipulado.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría permitir a un atacante robar información sensible, como cookies de sesión o credenciales de usuarios, lo que podría comprometer la seguridad de la instalación y la confianza de los usuarios en el sitio web.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad mediante la creación de enlaces manipulados que, al ser visitados por un usuario, ejecutan el código malicioso en su navegador. Esto puede lograrse a través de correos electrónicos de phishing o publicaciones en redes sociales.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Child Support Calculator a la versión 2.0.1.2 o superior. Además, implementar medidas de seguridad adicionales como el uso de Content Security Policy (CSP) y sanitización de entradas puede ayudar a prevenir futuros ataques XSS.

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones no autorizadas o la ejecución de scripts no deseados en el navegador. Monitorear los registros de acceso puede ayudar a identificar patrones sospechosos.

Alcance afectado

Las versiones del Freemius SDK hasta la 2.5.9 son vulnerables, lo que afecta a todas las instalaciones que utilicen estas versiones en el plugin Child Support Calculator.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

ultimate-flipbox-addon-for-elementor

Flipbox Addon for Elementor <= 2.1.1 - Authenticated (Author+) Stored Cross-Site Scripting via Custom Attributes

Ver ficha
MEDIUM PLUGIN

coblocks

Page Builder Gutenberg Blocks <= 3.1.16 - Authenticated (Contributor+) Stored Cross-Site Scripting via External iCal Feed Data

Ver ficha
MEDIUM PLUGIN

categories-images

Categories Images <= 3.3.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'z_taxonomy_image' Shortcode

Ver ficha
MEDIUM PLUGIN

custom-post-widget

Content Blocks (Custom Post Widget) <= 3.3.9 - Authenticated (Author+) Stored Cross-Site Scripting via content_block Shortcode

Ver ficha
MEDIUM PLUGIN

contextual-related-posts

Contextual Related Posts <= 4.2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'other_attributes'

Ver ficha
MEDIUM PLUGIN

pz-linkcard

Pz-LinkCard <= 2.5.8.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

Ver ficha
MEDIUM PLUGIN

hostel

Hostel <= 1.1.6 - Reflected Cross-Site Scripting via 'shortcode_id' Parameter

Ver ficha
MEDIUM PLUGIN

youzify

Youzify <= 1.3.6 - Authenticated (Subscriber+) Stored Cross-Site Scripting via 'checkin_place_id' Parameter

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad