Vulnerabilidad crítica del plugin Customer Reviews for WooCommerce en WordPress afecta más de 80.000 sitios web

por

Se ha descubierto una vulnerabilidad grave en el plugin Customer Reviews for WooCommerce, afectando a más de 80.000 sitios WordPress.

La falla permite que atacantes no autenticados ejecuten un ataque de Cross-Site Scripting (XSS) almacenado, poniendo en riesgo la seguridad de los visitantes y la integridad de los sitios afectados.

Detalles de la vulnerabilidad

El plugin Customer Reviews for WooCommerce permite a los administradores:

  • Enviar recordatorios por correo a clientes para dejar reseñas
  • Mejorar la interacción y compromiso de los clientes con la marca

El problema surge debido a la falta de saneamiento de entradas y escape de salidas, lo que permite a atacantes inyectar scripts maliciosos que se ejecutan cuando un usuario visita la página afectada.

Wordfence explicó la falla:

“El plugin Customer Reviews for WooCommerce para WordPress es vulnerable a Stored Cross-Site Scripting a través del parámetro author en todas las versiones hasta la 5.80.2, debido a insuficiente saneamiento de entradas y escape de salidas. Esto permite que atacantes no autenticados inyecten scripts arbitrarios en las páginas, los cuales se ejecutan al acceder a la página inyectada.”

Versiones afectadas y solución

Todas las versiones hasta 5.80.2 están vulnerables. Los usuarios deben actualizar inmediatamente a la versión 5.81.0 o superior para proteger sus sitios y visitantes.

Impacto y recomendaciones de seguridad

  • Afecta más de 80,000 sitios WordPress
  • Permite ataques XSS almacenados por atacantes no autenticados
  • Revisar y actualizar todos los plugins de WooCommerce
  • Mantener siempre copias de seguridad recientes antes de actualizar plugins
  • Revisar entradas de usuarios y comentarios para detectar posibles scripts maliciosos

Esta vulnerabilidad destaca la importancia de saneamiento de entradas y escape de salidas en plugins de WordPress y la necesidad de mantener todos los plugins actualizados para evitar compromisos de seguridad.

Artículos Relacionados

Descubre más desde CIBERED

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Deja un comentario