Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

ProfilePress <= 4.15.14 - Authenticated (Admin+) Stored Cross-Site Scripting via "Product Files"

PLUGIN MEDIUM CVE-2024-10518

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin ProfilePress, que afecta a las versiones hasta la 4.15.14. Esta vulnerabilidad permite a usuarios autenticados con privilegios de administrador inyectar scripts maliciosos a través de los archivos de producto.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los datos introducidos en los 'Product Files'. Al no realizar una correcta validación y saneamiento de estos datos, se facilita la inyección de scripts maliciosos, lo que puede llevar a la ejecución de código en el navegador de otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto de la sesión de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación de la interfaz de usuario. Esto puede afectar la confianza de los usuarios y la reputación del sitio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la carga de archivos de producto que contienen scripts maliciosos. Un usuario autenticado con privilegios de administrador puede insertar estos archivos, lo que desencadena la ejecución del script en el navegador de otros usuarios que accedan a la página afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin ProfilePress a la versión 4.15.15 o superior. Además, se sugiere implementar prácticas de codificación segura, como la validación y el saneamiento de entradas, para prevenir inyecciones de scripts en el futuro.

Señales de detección

Se pueden detectar señales de explotación mediante la monitorización de registros de actividad que muestren cambios no autorizados en los archivos de producto o la ejecución de scripts inusuales en las páginas del sitio.

Alcance afectado

Las versiones del plugin ProfilePress hasta la 4.15.14 son las afectadas. Se debe prestar especial atención a las instalaciones que utilizan este plugin y que permiten la carga de archivos de producto.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-user-avatar

Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress <= 4.15.19 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wp-user-avatar

Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress <= 4.15.19 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wp-user-avatar

Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress <= 4.15.19 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wp-user-avatar

ProfilePress <= 4.15.14 - Authenticated (Admin+) Stored Cross-Site Scripting via "Labels"

Ver ficha
MEDIUM PLUGIN

wp-user-avatar

ProfilePress <= 4.15.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via ProfilePress User Panel Widget

Ver ficha
MEDIUM PLUGIN

wp-user-avatar

Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress <= 4.15.4 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wp-user-avatar

Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress <= 4.15.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'reg-single-checkbox'

Ver ficha
MEDIUM PLUGIN

wp-user-avatar

ProfilePress <= 4.15.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad