WoodMart <= 8.2.3 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

La vulnerabilidad identificada en el tema WoodMart afecta a las versiones hasta la 8.2.3 y permite la ejecución de scripts maliciosos a través de una técnica de Cross-Site Scripting (XSS) almacenado. Esta falla tiene una severidad media y fue publicada el 7 de julio de 2025.

Contexto técnico

El fallo se origina en la gestión de entradas de usuarios autenticados con rol de colaborador o superior, que pueden inyectar código JavaScript en el sistema. Esto se traduce en un vector de ataque que permite a un atacante ejecutar scripts en el contexto de otros usuarios al acceder a ciertas páginas del sitio web.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los datos de los usuarios, permitiendo el robo de información sensible y afectando la integridad del sitio. Esto puede resultar en pérdida de confianza por parte de los usuarios y daños reputacionales significativos para la organización.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la inyección de código malicioso en campos de entrada que no son adecuadamente sanitizados. Un usuario autenticado con permisos suficientes puede insertar scripts que se ejecutan cuando otros usuarios acceden a las páginas afectadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el tema WoodMart a la versión 8.2.4 o superior. Además, se debe implementar una revisión de los permisos de usuario y asegurar que todas las entradas sean correctamente validadas y sanitizadas.

Señales de detección

Se deben monitorizar los logs del servidor en busca de patrones inusuales de acceso y actividad de usuarios, así como cualquier intento de inyección de scripts en formularios o campos de entrada.

Alcance afectado

Las versiones afectadas son todas las versiones del tema WoodMart anteriores a la 8.2.4.