Vulnerabilidad de cross-site scripting (XSS) en plugin de WordPress

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin SEO Plugin by Squirrly SEO de WordPress, que permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) en el sistema afectado. 

La vulnerabilidad identificada como CVE-2022-45065, de severidad “Alta”, con una puntuación asignada de 7.1. Esta vulnerabilidad del tipo cross-site scripting (XSS) se debe a una falla de seguridad en el plugin SEO Plugin by Squirrly SEO de WordPress. Esto permitiría a un atacante no autenticado a través de peticiones HTML especialmente diseñadas enviadas al sitio web, ejecutar código JavaScript en el navegador de las víctimas que visiten el sitio web afectado. 

El producto afectado es: 

• SEO Plugin by Squirrly SEO, versión 12.1.20 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace: 

• https://wordpress.org/plugins/squirrly-seo/#developers  

Referencias: 

• https://patchstack.com/database/vulnerability/squirrly-seo/wordpress-squirrly-seo-peaks-plugin-12-1-20-reflected-cross-site-scripting-xss-vulnerability 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45065 
• https://wordpress.org/plugins/squirrly-seo/#developers