Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo XSS en el plugin Quiz Maker, que afecta a múltiples versiones. Este fallo permite la ejecución de scripts maliciosos a través de contenido reflejado en el DOM.
Fuente base de datos: Wordfence Intelligence
Quiz Maker Business, Developer, and Agency <= (Multiple Versions) - Reflected DOM-Based Cross-Site Scripting via content
PLUGIN
MEDIUM
CVE-2024-10636
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en la forma en que el plugin gestiona el contenido de las preguntas del cuestionario, permitiendo que un atacante inyecte código JavaScript que se ejecute en el navegador de la víctima. Esta explotación se produce sin la necesidad de interacción directa con el servidor, afectando la seguridad del usuario final.
Impacto potencial
El impacto potencial de esta vulnerabilidad incluye el robo de información sensible del usuario y la posibilidad de redireccionamientos a sitios maliciosos, lo que podría comprometer la integridad de la plataforma y la confianza de los usuarios en el servicio.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad mediante la creación de enlaces maliciosos que, al ser visitados por un usuario, ejecutan el código inyectado en su navegador, facilitando así el robo de datos o la manipulación de la sesión.
Mitigación recomendada
Para mitigar este riesgo, se recomienda actualizar el plugin Quiz Maker a la versión 31.8.0.100 o superior. Además, se sugiere implementar medidas de seguridad adicionales como la validación y sanitización de entradas de usuario, y el uso de Content Security Policy (CSP).
Señales de detección
Se pueden detectar intentos de explotación mediante la monitorización de logs que muestren comportamientos inusuales en la carga de contenido, así como alertas sobre accesos a URLs que contengan parámetros sospechosos o scripts.
Alcance afectado
Las versiones afectadas del plugin Quiz Maker incluyen todas las versiones anteriores a la 31.8.0.100. Se recomienda revisar todas las instalaciones que utilicen este plugin para asegurar que se encuentren actualizadas.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
quiz-maker
Quiz Maker <= 6.7.1.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode
MEDIUM
PLUGIN
quiz-maker
Quiz Maker <= 6.7.0.88 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
quiz-maker
Quiz Maker Business, Developer, and Agency <= (Multiple Versions) - Reflected DOM-Based Cross-Site Scripting via content
MEDIUM
PLUGIN
quiz-maker
Quiz Maker Business, Developer, and Agency <= (Multiple Versions) - Reflected DOM-Based Cross-Site Scripting via content
HIGH
PLUGIN
quiz-maker
Quiz Maker Business, Developer, and Agency <= (Multiple Versions) - Missing Authorization to Google Sheets Integration Credentials Modification and Stored Cross-Site Scripting
HIGH
PLUGIN
quiz-maker
Quiz Maker Business, Developer, and Agency <= (Multiple Versions) - Missing Authorization to Google Sheets Integration Credentials Modification and Stored Cross-Site Scripting
HIGH
PLUGIN
quiz-maker
Quiz Maker Business, Developer, and Agency <= (Multiple Versions) - Missing Authorization to Google Sheets Integration Credentials Modification and Stored Cross-Site Scripting
MEDIUM
PLUGIN
quiz-maker
Quiz Maker <= 6.5.9.8 - Authenticated (Admin+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto