Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +12 Modules – All in One Solution (formerly WooLentor) <= 2.8.4 - Authenticated (Contributor+) Stored Cross-site Scripting via QR Code Widget

PLUGIN MEDIUM CVE-2024-2946

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-site Scripting (XSS) en el plugin ShopLentor para WooCommerce, que afecta a las versiones hasta la 2.8.4. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos a través del widget de código QR.

Contexto técnico

La vulnerabilidad se produce debido a la falta de validación adecuada de los datos introducidos en el widget de código QR, lo que permite la ejecución de scripts en el contexto del navegador de otros usuarios autenticados. Esto se clasifica como un ataque de XSS almacenado, donde el código malicioso se almacena y se ejecuta posteriormente.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS de 6.4. Un atacante podría comprometer la seguridad de los usuarios que interactúan con el widget afectado, lo que podría resultar en la sustracción de datos sensibles o la manipulación de sesiones.

Vector de explotación

La explotación de esta vulnerabilidad generalmente requiere que el atacante tenga privilegios de contribuyente o superiores, lo que limita el riesgo a usuarios con acceso a la administración del sitio. Sin embargo, una vez dentro, el atacante puede inyectar scripts que afecten a otros usuarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin ShopLentor a la versión 2.8.5 o superior. Además, se sugiere revisar las configuraciones de seguridad y validar los permisos de los usuarios que tienen acceso a la administración del sitio.

Señales de detección

Se pueden detectar señales de explotación mediante la monitorización de actividades inusuales en el widget de código QR, así como revisando los registros de actividad de usuarios con privilegios de contribuyente o superiores.

Alcance afectado

Las versiones afectadas de ShopLentor son todas las anteriores a la 2.8.5. Los sitios que utilizan este plugin deben ser evaluados para determinar si están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woolentor-addons

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution <= 3.2.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Ver ficha
MEDIUM PLUGIN

woolentor-addons

ShopLentor <= 3.2.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

woolentor-addons

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +20 Modules – All in One Solution (formerly WooLentor) <= 3.1.0 - Authenticated (Contributor+) Stored DOM-Based Cross-Site Scripting via Flash Sale Countdown Module

Ver ficha
MEDIUM PLUGIN

woolentor-addons

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +12 Modules – All in One Solution (formerly WooLentor) <= 2.9.7 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

woolentor-addons

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +12 Modules – All in One Solution (formerly WooLentor) <= 2.9.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via WL Product Horizontal Filter Widget

Ver ficha
MEDIUM PLUGIN

woolentor-addons

ShopLentor <= 2.8.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via woolentorsearch Shortcode

Ver ficha
MEDIUM PLUGIN

woolentor-addons

ShopLentor <= 2.8.7 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

woolentor-addons

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +12 Modules – All in One Solution (formerly WooLentor) <= 2.8.7 - Authenticated (contributor+) Stored Cross-Site Scripting via _id

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad