WordPress anunció la actualización 6.5.2 de mantenimiento y seguridad que parchea una vulnerabilidad de secuencias de comandos entre sitios de la tienda y corrige más de una docena de errores en el núcleo y el editor de bloques.
La misma vulnerabilidad afecta tanto al núcleo de WordPress como al complemento de Gutenberg.
Secuencias de comandos entre sitios (XSS)
Se descubrió una vulnerabilidad XSS en WordPress que podría permitir a un atacante inyectar scripts en un sitio web que luego ataca a los visitantes de esas páginas.
Hay tres tipos de vulnerabilidades XSS, pero las más comúnmente descubiertas en los complementos y temas de WordPress y en el propio WordPress son el XSS reflejado y el XSS almacenado.
XSS reflejado requiere que la víctima haga clic en un enlace, un paso adicional que hace que este tipo de ataque sea más difícil de lanzar.
Un XSS almacenado es la variante más preocupante porque explota una falla que permite al atacante cargar un script en el sitio vulnerable que luego puede lanzar ataques contra los visitantes del sitio. La vulnerabilidad descubierta en WordPress es un XSS almacenado.
La amenaza en sí se mitiga hasta cierto punto porque se trata de un XSS almacenado autenticado, lo que significa que el atacante primero debe adquirir al menos permisos de nivel de colaborador para poder explotar la falla del sitio web que hace posible la vulnerabilidad.
Esta vulnerabilidad está clasificada como una amenaza de nivel medio y recibe una puntuación del Sistema de puntuación de vulnerabilidad común (CVSS) de 6,4 en una escala del 1 al 10.
Wordfence describe la vulnerabilidad:
“WordPress Core es vulnerable a secuencias de comandos almacenadas entre sitios a través de nombres para mostrar de usuario en el bloque Avatar en varias versiones hasta 6.5.2 debido a una salida insuficiente que se escapa en el nombre para mostrar. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada”.
WordPress.org recomienda actualizar inmediatamente
El anuncio oficial de WordPress recomendaba que los usuarios actualizaran sus instalaciones, escribiendo:
“Debido a que se trata de una versión de seguridad, se recomienda que actualice sus sitios de inmediato. Los backports también están disponibles para otras versiones importantes de WordPress, 6.1 y posteriores”.
Lea los avisos de Wordfence:
WordPress Core < 6.5.2 – Secuencias de comandos entre sitios almacenadas autenticadas (Contributor+) a través del bloque Avatar
Gutenberg 12.9.0 – 18.0.0 – Secuencias de comandos entre sitios almacenadas autenticadas (Contributor+) a través del bloque Avatar
Lea el anuncio oficial de WordPress.org:
Versión de seguridad y mantenimiento de WordPress 6.5.2
Imagen destacada de Shutterstock/ivan_kislitsin