WordPress Core 6.3 - 6.3.1 - Authenticated(Contributor+) Cross-Site Scripting via Footnotes Block

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en las versiones 6.3 y 6.3.1 del núcleo de WordPress, que afecta a los usuarios autenticados con rol de colaborador o superior. Esta vulnerabilidad fue publicada el 12 de octubre de 2023 y se ha corregido en la versión 6.3.2.

Contexto técnico

El fallo se origina en el bloque de notas al permitir la inyección de scripts maliciosos por parte de usuarios autenticados. Esto puede comprometer la seguridad del sitio al permitir la ejecución de código no autorizado en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts en el contexto del navegador de los usuarios, lo que podría resultar en el robo de información sensible, como cookies de sesión. Esto representa un riesgo significativo para la integridad del sitio y la privacidad de los usuarios.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la creación de contenido malicioso que se inserta en el bloque de notas, el cual es posteriormente visualizado por otros usuarios, permitiendo la ejecución de scripts no deseados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar WordPress a la versión 6.3.2 o superior. Además, es aconsejable revisar y restringir los permisos de los usuarios, limitando el acceso a funciones críticas a roles de confianza.

Señales de detección

Se pueden identificar intentos de explotación observando comportamientos inusuales en los registros de acceso, como peticiones que incluyen parámetros sospechosos o la creación de contenido no autorizado por parte de usuarios con rol de colaborador.

Alcance afectado

Las versiones afectadas son WordPress 6.3 y 6.3.1. Se recomienda a todos los administradores de sitios que utilicen estas versiones realizar la actualización de inmediato.