Fuente base de datos: Wordfence Intelligence

Easy Social Feed <= 6.5.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via fb_appid

PLUGIN MEDIUM CVE-2024-30180

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

La vulnerabilidad identificada en el plugin Easy Social Feed, hasta la versión 6.5.3, permite la ejecución de scripts maliciosos a través de un ataque de Cross-Site Scripting (XSS) almacenado, afectando a usuarios autenticados con rol de colaborador o superior. Esta falla fue corregida en la versión 6.5.4, publicada el 25 de marzo de 2024.

Contexto técnico

El fallo se produce en la forma en que el plugin gestiona el parámetro 'fb_appid', permitiendo que un atacante autenticado inyecte código JavaScript malicioso que se almacena y se ejecuta en el navegador de otros usuarios. La superficie de ataque se centra en la interacción con el plugin por parte de usuarios con permisos de contribuyente o mayores.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante robar información sensible, como cookies de sesión, o realizar acciones en nombre de otros usuarios, comprometiendo la integridad y seguridad del sitio web. Esto puede llevar a pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

Generalmente, el atacante se aprovecha de la capacidad de un usuario autenticado para enviar un payload malicioso a través del campo 'fb_appid', que luego se almacena y se ejecuta en el contexto de otros usuarios que visitan el sitio.

Mitigación recomendada

Actualizar el plugin Easy Social Feed a la versión 6.5.4 o superior. Además, se recomienda revisar los permisos de los usuarios y aplicar políticas de seguridad más estrictas para minimizar el riesgo de explotación.

Señales de detección

Señales de alerta incluyen la presencia de scripts no autorizados en la salida del plugin, así como comportamientos inusuales de usuarios autenticados que podrían indicar un ataque XSS.

Alcance afectado

Las versiones del plugin Easy Social Feed hasta la 6.5.3 son vulnerables. Se recomienda a todos los usuarios de estas versiones que realicen la actualización inmediata.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

easy-facebook-likebox

Easy Social Feed – Social Photos Gallery – Post Feed – Like Box <= 6.6.7 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

MEDIUM PLUGIN

easy-facebook-likebox

Easy Social Feed <= 6.5.5 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

easy-facebook-likebox

Easy Social Feed – Social Photos Gallery – Post Feed – Like Box <= 6.5.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

easy-facebook-likebox

Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

MEDIUM PLUGIN

easy-facebook-likebox

Easy Social Feed <= 6.3.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

easy-facebook-likebox

Easy Social Feed <= 6.2.6 - Reflected Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto