EL Plugin Meta SEO de WordPress (WP) tiene una vulnerabilidad del tipo Stored Cross-Site Scripting a través del encabezado ‘Referer’. Esto hace posible que actores maliciosos no autenticados puedan inyectar código arbitrario en páginas que se ejecutan cada vez que un usuario accede a la pagina inyectada.
Productos Afectados:
La vulnerabilidad afecta a cualquier WP que utilice el plugin Meta SEO.
- WP Meta SEO (<= 4.5.12)
La vulnerabilidad esta identificada como CVE-2023-6961, y se le ha asignado una puntuación en CVSSv3 de 7.2, severidad alta. La vulnerabilidad afecta una función desconocida del componente Referer Header Handler. La manipulación con una entrada desconocida puede llevar a consecuencias graves.
Recomendación:
Actualizar a la versión 4.5.13, o la versión mas reciente.
Referencia:
- https://wordpress.org/plugins/wp-meta-seo/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-meta-seo/wp-meta-seo-4512-unauthenticated-stored-cross-site-scripting-via-referer-header