Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

WP Recipe Maker <= 9.3.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via wprm-recipe-roundup-item Shortcode

PLUGIN MEDIUM CVE-2024-3490

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Recipe Maker, que afecta a las versiones hasta la 9.3.1. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través del shortcode 'wprm-recipe-roundup-item'.

Contexto técnico

La vulnerabilidad se presenta como un fallo de XSS almacenado, donde un atacante puede insertar código JavaScript que se ejecuta en el navegador de otros usuarios. Esto ocurre al utilizar el shortcode mencionado, lo que expone a los visitantes del sitio a posibles ataques si el contenido inyectado es visualizado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el contexto del usuario, lo que podría llevar al robo de cookies, suplantación de identidad o redirección a sitios maliciosos. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación de contenido que utiliza el shortcode vulnerable, permitiendo a un atacante autenticado inyectar código malicioso que se ejecutará cuando otros usuarios accedan a ese contenido.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin WP Recipe Maker a la versión 9.4.0 o superior. Además, se deben revisar los permisos de usuario para limitar la capacidad de los colaboradores de añadir contenido potencialmente peligroso.

Señales de detección

Señales de riesgo incluyen la presencia de scripts inusuales en el contenido generado por el shortcode 'wprm-recipe-roundup-item' y reportes de comportamientos extraños en el sitio web, como redirecciones no autorizadas o cambios en la apariencia del mismo.

Alcance afectado

Las versiones del plugin WP Recipe Maker hasta la 9.3.1 están afectadas por esta vulnerabilidad, por lo que es crucial que los usuarios que tengan instalada esta versión realicen la actualización correspondiente.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 10.2.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Ver ficha
MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 9.8.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 9.6.1 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via 'tooltip'

Ver ficha
MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 9.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'group_tag'

Ver ficha
MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 9.2.1 - Authenticated Stored Cross-Site Scripting via Video Embed

Ver ficha
MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 9.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'tag'

Ver ficha
MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 9.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Recipe Notes

Ver ficha
MEDIUM PLUGIN

wp-recipe-maker

WP Recipe Maker <= 9.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via icon_color

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad