Fuente base de datos: Wordfence Intelligence

WordPress Infinite Scroll – Ajax Load More <= 6.1.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2023-50874

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Ajax Load More, afectando a las versiones hasta la 6.1.0.1. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos en el sitio web.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja las entradas de los usuarios, permitiendo la inserción de código JavaScript no validado. Este tipo de vulnerabilidad se clasifica como XSS almacenado, ya que el código inyectado se guarda en la base de datos y se ejecuta cuando otros usuarios acceden a la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la ejecución de scripts en el navegador de otros usuarios, lo que podría llevar al robo de información sensible, suplantación de identidad o la manipulación del contenido del sitio. Esto podría afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación de contenido que incluye scripts maliciosos. Un usuario autenticado con permisos adecuados puede inyectar el código, que luego se ejecutará cuando otros usuarios visiten la página donde se ha almacenado.

Mitigación recomendada

Se recomienda actualizar el plugin Ajax Load More a la versión 6.2 o superior. Además, es aconsejable revisar las entradas de los usuarios y aplicar medidas de sanitización y validación de datos para prevenir futuras inyecciones de código.

Señales de detección

Señales de posible explotación incluyen la aparición de contenido inusual en las páginas del sitio, así como reportes de comportamiento extraño por parte de los usuarios. También se pueden monitorizar los registros de acceso para detectar patrones sospechosos.

Alcance afectado

Las versiones del plugin Ajax Load More hasta la 6.1.0.1 son vulnerables. Se recomienda a todos los usuarios de este plugin verificar su versión y realizar la actualización correspondiente.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

ajax-load-more

WordPress Infinite Scroll – Ajax Load More <= 7.4.0.1 - Authenticated(Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

ajax-load-more

Ajax Load More <= 7.3.1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

ajax-load-more

WordPress Infinite Scroll - Ajax Load More <= 7.1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via button_label Parameter

MEDIUM PLUGIN

ajax-load-more

WordPress Infinite Scroll – Ajax Load More <= 7.1.1 - Authenticated (Contributor+) Cross-Site Scripting

MEDIUM PLUGIN

ajax-load-more

Ajax Load More <= 7.0.1 - Authenticated (Administrator+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto