Las vulnerabilidades reportadas aún no poseen un CVE asignado, las mismas se componen de 1 (una) de severidad “Alta” y 2 (dos) de severidad “Media”. Las cuales se detallan a continuación:
- Vulnerabilidad de severidad alta, sin CVE asignado, con una puntuación de 8.0. Esta se debe a una falla de secuencias de comandos entre sitios, específicamente en la función wp_filter_global_styles_post que permite una serie de omisiones manejadas por wp_kses almacenadas en Contributor+ Stored XSS. Esta vulnerabilidad requiere que el atacante tenga acceso a la cuenta, de al menos un usuario de nivel de colaborador. Una explotación exitosa podría inyectar código JavaScript malicioso.
- Vulnerabilidades de severidad media, ambas sin CVE asignado, con una puntuación de 5.0. Estas vulnerabilidades se deben a fallas en un componente con dependencia de jQuery, que permiten a los atacantes inyectar valores en «propiedades» de objetos de JavaScript. La explotación requeriría la interacción del usuario, como un atacante que engaña a una víctima para que haga clic en un enlace, similar al Cross-Site Scripting (XSS). Un atacante podría ejecutar código JavaScript en el navegador de la víctima.
Las versiones afectadas en WordPress son:
- WordPress 5.9.1 y anteriores.
Recomendamos instalar la actualización correspondiente provista por WordPress, mediante el siguiente enlace:
Referencias: