Vulnerabilidad de Cross-Site Scripting (XSS) en plugin de WordPress

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin PostX – Gutenberg Blocks for Post Grid de WordPress, que permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) a través del sitio web afectado. 

La vulnerabilidad identificada como CVE-2023-36385, de severidad “Alta”, con una puntuación asignada de 7.1. Esta vulnerabilidad del tipo cross-site scripting (XSS) se debe a una falla de validación de datos de entradas del usuario en el plugin PostX – Gutenberg Blocks for Post Grid de WordPress. Esto permitiría a un atacante, a través de peticiones HTTP especialmente diseñadas, ejecutar código JavaScript en el navegador de las víctimas a través del sitio web afectado. 

El producto afectado es: 

• Plugin PostX – Gutenberg Blocks for Post Grid de WordPress, versión 2.9.9 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace: 

• https://wordpress.org/plugins/ultimate-post/#developers 

Referencias: 

• https://patchstack.com/database/vulnerability/ultimate-post/wordpress-postx-gutenberg-post-grid-blocks-plugin-2-9-9-cross-site-scripting-xss-vulnerability 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36385 
• https://wordpress.org/plugins/ultimate-post/#developers