Fuente base de datos: Wordfence Intelligence

Poll Maker – Best WordPress Poll Plugin <= 5.1.8 - Missing Authorization to Unauthenticated Stored Cross-Site Scripting

PLUGIN HIGH CVE-2024-3600

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Poll Maker para WordPress, que afecta a las versiones hasta la 5.1.8. Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts maliciosos en las páginas web afectadas.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada en el plugin Poll Maker, lo que permite que usuarios no autenticados realicen acciones que deberían estar restringidas. Esto se traduce en la posibilidad de inyectar código JavaScript malicioso en el contenido almacenado, afectando así a los visitantes del sitio web.

Impacto potencial

El impacto potencial de esta vulnerabilidad es alto, ya que puede ser utilizada para robar información sensible de los usuarios, redirigir a los visitantes a sitios maliciosos o realizar otras acciones dañinas. Esto puede comprometer la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se lleva a cabo mediante la creación de encuestas o formularios que incluyen scripts maliciosos, los cuales son ejecutados en el navegador de los usuarios que visitan la página donde se muestra la encuesta.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Poll Maker a la versión 5.1.9 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening, como la validación de entradas y la implementación de políticas de seguridad de contenido.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio web, como redirecciones inesperadas o la ejecución de scripts no autorizados. También se pueden monitorizar logs de acceso en busca de patrones sospechosos relacionados con el plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.1.9 del plugin Poll Maker. Es crucial que los administradores de WordPress verifiquen si están utilizando una versión vulnerable.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

poll-maker

Poll Maker <= 6.0.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

poll-maker

Poll Maker <= 5.5.3 - Authenticated (Administrator+) Stored Cross-Site Scripting

MEDIUM PLUGIN

poll-maker

Poll Maker – Versus Polls, Anonymous Polls, Image Polls <= 5.4.6 - Authenticated (Administrator+) Stored Cross-Site Scripting via Poll Settings

MEDIUM PLUGIN

poll-maker

Poll Maker <= 4.7.0 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

poll-maker

Poll Maker <= 4.0.1 - Admin+ Stored Cross-Site Scripting

MEDIUM PLUGIN

poll-maker

Poll Maker <= 3.2.8 – Reflected Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto