Rank Math SEO – AI SEO Tools to Dominate SEO Rankings <= 1.0.235 - Authenticated (Contributor+) Stored Cross-Site Scripting via Rank Math API

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Rank Math SEO, que afecta a versiones anteriores a la 1.0.236. Esta vulnerabilidad permite a un atacante autenticado ejecutar scripts maliciosos a través de la API del plugin.

Contexto técnico

El fallo se origina en la falta de validación adecuada de los datos recibidos por la API de Rank Math SEO. Esto permite que un usuario con permisos de contribuyente o superiores inyecte código JavaScript malicioso que se almacena y se ejecuta en el navegador de otros usuarios que visualizan el contenido afectado.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios al permitir que un atacante robe información sensible, como credenciales de sesión o datos personales. Además, puede afectar la reputación del sitio y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes a la API de Rank Math SEO con scripts maliciosos que se almacenan en la base de datos y se ejecutan en el contexto de otros usuarios que acceden a la página afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Rank Math SEO a la versión 1.0.236 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar prácticas de codificación segura para prevenir inyecciones de código.

Señales de detección

Se deben monitorizar las solicitudes a la API del plugin y buscar patrones inusuales que puedan indicar intentos de inyección de código. También es recomendable revisar los logs de actividad de los usuarios para detectar comportamientos sospechosos.

Alcance afectado

Las versiones del plugin Rank Math SEO anteriores a la 1.0.236 son vulnerables. Esto incluye todas las instalaciones que utilicen versiones hasta la mencionada.