Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin ProfilePress de WordPress, que permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) en el sistema afectado.
La vulnerabilidad identificada como CVE-2022-47444, de severidad “alta”, con una puntuación asignada de 7.1. Esta vulnerabilidad del tipo cross-site scripting (XSS) se debe a una falla de seguridad en el plugin ProfilePress de WordPress. Esto permitiría a un atacante no autenticado a través de peticiones HTML especialmente diseñadas enviadas al sitio web, ejecutar código JavaScript en el navegador de las víctimas que visiten el sitio web afectado.
El producto afectado es:
- WordPress ProfilePress Plugin, versión 4.4.1 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias:
- https://patchstack.com/database/vulnerability/wp-user-avatar/wordpress-paid-membership-ecommerce-registration-form-login-form-user-profile-paywall-restrict-content-profilepress-plugin-4-4-1-cross-site-scripting-xss
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-47444
- https://wordpress.org/plugins/wp-user-avatar/#developers