Fuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Twentig, que afecta a las versiones hasta la 1.9.7. Esta vulnerabilidad permite a usuarios autenticados con rol de Contributor o superior ejecutar scripts maliciosos.
La vulnerabilidad se origina en el manejo inadecuado del parámetro 'featuredImageSizeWidth', lo que permite la inyección de código JavaScript en el contexto del navegador de otros usuarios. Esto se considera un problema de XSS almacenado, donde el código malicioso se guarda en el servidor y se ejecuta cuando otros usuarios acceden a la información afectada.
La explotación de esta vulnerabilidad podría comprometer la seguridad de los usuarios, permitiendo a un atacante robar información sensible, como cookies de sesión o credenciales. Esto podría afectar la reputación del negocio y la confianza de los usuarios en la plataforma.
Generalmente, la explotación se lleva a cabo mediante la creación de contenido malicioso que incluye el código XSS, que luego es visualizado por otros usuarios del sitio. Los atacantes pueden utilizar cuentas comprometidas o engañar a usuarios con permisos para insertar el código malicioso.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Twentig a la versión 2.0 o superior. Además, se debe revisar el contenido generado por usuarios con permisos de Contributor y superiores para detectar posibles inyecciones de código malicioso.
Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redireccionamientos no autorizados o la ejecución de scripts no deseados en el navegador de los usuarios. También se pueden monitorizar logs de acceso para identificar actividades sospechosas.
Las versiones del plugin Twentig hasta la 1.9.7 son las afectadas. Es crucial verificar todas las instalaciones que utilicen este plugin para asegurar que no están en riesgo.
ultimate-flipbox-addon-for-elementor
coblocks
categories-images
custom-post-widget
contextual-related-posts
pz-linkcard
hostel
youzify
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.