Fuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Fonto, que permite a usuarios autenticados subir archivos SVG maliciosos. Esta vulnerabilidad afecta a la versión 1.2.1 y tiene un nivel de severidad medio.
El fallo se origina en la gestión de la subida de archivos SVG dentro del plugin Fonto, lo que permite la ejecución de scripts maliciosos en el contexto del usuario autenticado. Esto puede ser aprovechado por un atacante que tenga acceso a la cuenta de un autor o superior para inyectar código malicioso en el sitio web.
La explotación de esta vulnerabilidad puede comprometer la seguridad del sitio, permitiendo a un atacante ejecutar scripts en el navegador de otros usuarios, lo que puede llevar al robo de información sensible o manipulación de datos. Además, puede afectar la reputación del negocio y la confianza de los usuarios.
Generalmente, el ataque se realiza mediante la subida de un archivo SVG que contiene código JavaScript malicioso, el cual se ejecuta cuando otros usuarios acceden a la página afectada.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Fonto a la versión 1.2.2 o superior. Además, se sugiere implementar controles adicionales en la validación de archivos subidos, restringiendo los tipos de archivos permitidos y revisando las configuraciones de seguridad del servidor.
Señales de posible explotación incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones no autorizadas o la inyección de contenido extraño en las páginas. También se deben revisar los logs de acceso para detectar actividades sospechosas relacionadas con la subida de archivos.
Las versiones afectadas son todas las versiones del plugin Fonto hasta la 1.2.1. Se debe verificar el uso de este plugin en todas las instalaciones de WordPress que puedan estar en riesgo.
post-snippets
automotive
official-statcounter-plugin-for-wordpress
simple-divi-shortcode
link-whisper
the-plus-addons-for-elementor-page-builder
login-recaptcha
new-dev-livesmart-video-chat
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.