WP Meta SEO <= 4.5.18 - Unauthenticated Stored Cross-Site Scripting via REQUEST_URI in 404 Logging (Cross-Site Scripting (XSS))

Resumen ejecutivo

Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WP Meta SEO, que afecta a versiones anteriores a 4.5.18. Esta falla permite la inyección de scripts maliciosos a través de la URI de solicitudes 404, lo que puede comprometer la seguridad del sitio web y sus usuarios.

Contexto técnico

El fallo se produce en el plugin WP Meta SEO, donde un atacante puede aprovechar la falta de validación en la gestión de registros 404. Esto permite la ejecución de scripts no autorizados en el navegador de los usuarios que visiten la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de código malicioso, lo que pone en riesgo la integridad de los datos y la privacidad de los usuarios. Además, puede dañar la reputación del sitio y afectar la confianza de los clientes.

Vector de explotación

La explotación se lleva a cabo mediante el envío de solicitudes manipuladas que incluyen scripts en la URI, que luego son almacenados y ejecutados en el contexto del navegador de los usuarios.

Mitigación recomendada

Actualizar el plugin WP Meta SEO a la versión 4.5.18 o superior para corregir la vulnerabilidad. Revisar y limpiar los registros de 404 para eliminar cualquier posible script malicioso ya almacenado. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar el riesgo de XSS.

Señales de detección

Monitorear los registros de acceso en busca de solicitudes inusuales que incluyan scripts o patrones sospechosos en la URI.

Alcance afectado

Las versiones de WP Meta SEO anteriores a la 4.5.18 están afectadas. No se han confirmado otros escenarios o plugins relacionados.