Fuente base de datos: Wordfence Intelligence

GeoDirectory <= 2.3.84 - Authenticated (Contributor+) Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2024-56259

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin GeoDirectory, que afecta a las versiones hasta la 2.3.84. Esta vulnerabilidad permite a usuarios autenticados con rol de Contributor o superior ejecutar scripts maliciosos en el contexto de otros usuarios.

Contexto técnico

La vulnerabilidad se manifiesta en el manejo inadecuado de datos introducidos por el usuario, lo que permite la inyección de scripts maliciosos que se almacenan y se ejecutan posteriormente en las sesiones de otros usuarios. Esto afecta la seguridad de la aplicación y la integridad de los datos.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría permitir a un atacante autenticado comprometer la experiencia de otros usuarios, robar información sensible o realizar acciones no autorizadas en su nombre. Esto podría dañar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación generalmente se lleva a cabo mediante la creación de contenido malicioso que se almacena en la base de datos y se presenta a otros usuarios. Esto requiere que el atacante tenga acceso como Contributor o superior, lo que limita el riesgo a usuarios internos o comprometidos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin GeoDirectory a la versión 2.3.85 o superior. Además, se sugiere revisar los roles de usuario y aplicar políticas de seguridad que limiten los privilegios de usuarios autenticados.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en la aplicación, reportes de scripts no autorizados en las páginas, o alertas sobre intentos de inyección de código en formularios.

Alcance afectado

Las versiones del plugin GeoDirectory hasta la 2.3.84 están afectadas por esta vulnerabilidad. Las instalaciones que no han actualizado a la versión 2.3.85 o superior están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

geodirectory

GeoDirectory <= 2.8.119 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

geodirectory

GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.97 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Display_name Parameter

MEDIUM PLUGIN

geodirectory

GeoDirectory <= 2.3.80 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

geodirectory

GeoDirectory – WordPress Business Directory Plugin, or Classified Directory <= 2.3.48 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'gd_single_tabs' Shortcode

MEDIUM PLUGIN

geodirectory

GeoDirectory <= 2.2.21 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

geodirectory

GeoDirectory <= 2.1.1.2 - Authenticated (admin+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto