WordPress ha publicado una actualización de seguridad para subsanar vulnerabilidades que permitirían a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) e inyección SQL.
Las vulnerabilidades reportadas, se componen de 1 (una) de severidad “Crítica” y 1 (una) de severidad “Alta”. Las cuales se detallan a continuación:
- CVE-2022-0479, vulnerabilidad de severidad crítica, con una puntuación asignada de 9.8. Esta se debe a una falla en el plugin Popup Builder de WordPress. La falla corresponde al complemento del parámetro “sgpb-subscription-popup-id” que permitiría a un atacante realizar inyección SQL, así también podría utilizarse para realizar un ataque del tipo Cross-Site Scripting (XSS) reflejado.
- CVE-2021-25064, vulnerabilidad de severidad alta, con una puntuación asignada de 7.2. Esta se debe a una falla en el plugin Wow Countdowns de WordPress. Este complemento de WordPress no controla correctamente la entrada del usuario en el parámetro “did”, utilizado en una declaración SQL, lo que podría llevar a un atacante a realizar una inyección SQL.
Las versiones afectadas son:
- Popup Build – Plugin de WordPress, versiones anteriores a 4.1.1
- Wow Countdowns – Plugin de WordPress, versiones anteriores a 3.1.3
Recomendamos instalar la actualización correspondiente provista por WordPress, mediante el siguiente enlace:
- https://plugins.trac.wordpress.org/changeset/2686454, para el plugin WordPress Popup Build
WordPress ha informado que el plugin Wow Countdowns ya no se encuentra disponible para su descarga.
Referencias: