Fuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
El plugin General Options, en versiones anteriores a 1.1.0, presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) que puede ser explotada por administradores autenticados. Esta falla permite inyectar scripts maliciosos a través del parámetro 'ad_contact_number', lo que puede comprometer la seguridad operativa del sitio.
La vulnerabilidad se encuentra en el plugin General Options, específicamente en la gestión del parámetro 'ad_contact_number'. La exposición ocurre cuando un administrador autenticado introduce datos maliciosos, que posteriormente son ejecutados en el navegador de otros usuarios, facilitando ataques XSS.
El impacto potencial incluye la posibilidad de que atacantes inyecten scripts que roben información sensible o realicen acciones no autorizadas en nombre de otros usuarios. Esto puede llevar a pérdidas de datos, daños a la reputación y compromisos de seguridad en el sitio web.
La explotación se lleva a cabo mediante la introducción de código JavaScript malicioso en el campo 'ad_contact_number' por parte de un administrador autenticado, que luego es ejecutado en el navegador de otros usuarios al visualizar la información afectada.
Actualizar el plugin General Options a la versión 1.1.0 o superior para corregir la vulnerabilidad. Revisar y limpiar los datos introducidos en el parámetro 'ad_contact_number' para eliminar cualquier posible inyección maliciosa. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP), para mitigar el riesgo de XSS.
Monitorear los registros del servidor en busca de entradas inusuales en el campo 'ad_contact_number' y cualquier actividad sospechosa por parte de administradores.
Todas las versiones del plugin General Options anteriores a 1.1.0 están afectadas. Se recomienda verificar si se utilizan versiones anteriores en instalaciones de WordPress.
themeisle-companion
services-section
customize-my-account-for-woocommerce
customize-my-account-for-woocommerce
powerpress
fancy-testimonials
slideshow-gallery
permalink-manager
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.