2024-04-09 Cross-Site Scripting sin autenticación
Esta vulnerabilidad fue publicada hace 20 días y ha comprometido hasta la versión más reciente de WordPress, WP 6.5, afortunadamente fue solventada en la 6.5.2, así como en todas las versiones inferiores donde también afectaba.
Este ataque se basa en aprovechar una situación que se ocasiona al WordPress no escapar el nombre del autor de su bloque Avatar (esto sucede con unas determinadas configuraciones de WordPress), de manera que si el blog emplea la configuración mencionada, esto puede inducir a ataques de Cross-Site Scripting.
2024-01-30 Subida de ficheros PHP por usuarios adm. no autorizados
Esta vulnerabilidad permite que usuarios que han sido otorgados el privilegio de administrador pero que tienen restringida la instalación y configuración de plugins, puedan subir ficheros PHP a través del complemento de carga de plugins.
Este problema quedó solventado en la versión 6.4.3 de WordPress.
2024-01-30 Deserialización de datos no seguros
Al actualizarse, WordPress, no limpia las configuraciones que tiene establecidas de manera previa, lo que puede ocasionar que usuarios con privilegios administrativos puedan realizar un ataque mediante la inyección de objetos PHP.
2023-12-06 Cadena POP y RCE
Hace algunos meses, WordPress introdujo el concepto de cadena de gadget. Esto por sí solo no supone ningún problema, pero si se usa de manera conjunta con una vulnerabilidad como la del apartado anterior, data-deserializing, sobre un complemento o tema de WordPress, puede dar lugar a la ejecución de código remoto (RCE).
2023-10-12 Revelación de correo del autor del post desautenticada
Esta vulnerabilidad surge porque hasta la versión 6.3.1, WordPress no implementó una correcta restricción de los campos de usuario que pueden buscarse a través de la API REST.
2023-10-12 Revelación de comentarios a colaboradores
WordPress no restringe de manera adecuada el acceso a los comentarios, de manera que los colaboradores pueden visualizar entradas de carácter privado que se encuentren protegidas con contraseña.
2023-10-12 Ejecución arbitraria de shortcode
WordPress no controla de forma correcta qué shortcodes pueden ser ejecutados a través de la acción AJAX parse_media_shortcode, permitiendo a cualquier usuario ejecutar shortcodes a su preferencia.
Nota: un shortcode permite añadir funcionalidades repetitivas sin necesidad de adjuntar de nuevo el código de manera completa.
2023-10-12 Denegación de servicio por envenenamiento de caché
Puede darse una situación de denegación de servicio cuando una cabecera X-HTTP-Method-Override es mandada en una solicitud a la REST API en configuraciones de mucha caché.
2023-10-12 XSS reflejado con solicitudes
Existen unos parámetros, success_url y reject_url que WordPress no restablece antes de devoverlos a la página cuando se solicitan contraseñas, lo que da lugar a la posibilidad de realizar Cross-Site Scripting reflejado contra cuentas con privilegios administrativos.
2023-10-12 XSS a través del bloque de navegación
WordPress no escapa algunas opciones del bloque de navegación al retroceder una página o post donde este bloque se encuentra implementado. Dando la posibilidad a colaboradores a realizar un ataque de XSS.
2023-10-12 XSS a través del bloque de notas al pie de página
WordPress no escapa opciones relativas al bloque de Footnotes block antes de devolverlas a la página o post anterior donde se encuentra incluido este bloque. Permitiendo así que un usuario con el rol de colaborador pueda llevar a cabo ataques de cross-site scripting.
2023-05-16 Inyección de contenido de colaboradores
WordPress no restaura correctamente algunos atributos de bloque, permitiendo que usuarios con un rol de colaborador o superior realicen inyección de contenido en comentarios de un blog usando un tema compatible con el editor de bloques.
2023-05-16 Ejecución de shortcodes en datos generados por el usuario
Se permite a usuarios no autenticados ejecutar los ya mencionados shortcodes en datos generados por el usuario.
LearnPress constituye uno de los plugins LMS más empleados en WordPress, estos se enfocan a facilitar que el usuario pueda crear y vender herramientas didácticas como cursos, lecciones o cuestionarios.
A finales de 2022, principios de 2023, se publicó la versión 4.2.0 de este plugin que solventaba hasta tres vulnerabilidades críticas relacionadas con inyecciones SQL. Dos meses después, tan solo el 25% de los sitios webs que implementaban este plugin habían actualizado y tapado estas afecciones.
Las tres afecciones pueden causar que un atacante lleve a cabo un filtrado de datos inmenso en el servidor, desde contraseñas, información relativa a cuentas bancarias, hasta datos personales de los usuarios.
Por parte de WooCommerce, gran parte de las vulnerabilidades que se ocasionaron eran de tipo Cross-Site Request Forgery, también conocidos como falsificación de petición o secuestro de sesión. En este caso afectando a diferentes plugins del propio WooCommerce, como al de recomendaciones de producto, o al de seguimiento de correos electrónicos.
Vemos además que las métricas de evaluación en estas vulnerabilidades son relativamente altas lo que indica que la gravedad de estas afecciones debe ser tenida muy en cuenta ya que supone un gran riesgo y compromiso.
A continuación se muestra un ejemplo muy visual de cómo funcionan este tipo de vulnerabilidades. Un atacante realiza una solicitud fraudulenta y la manda a su víctima para que clique en ella. Una vez la persona atacada accede al enlace, envía esta petición de fraude y la acción que el atacante indicó en la solicitud se valida en el servidor y se lleva a cabo. En el caso del ejemplo se trata de una transferencia de fondos.
Ejemplos de este tipo de solicitudes son acciones tan típicas como borrar un registro, cambiar una contraseña, comprar un producto o enviar un mensaje.
Una práctica adecuada para protegerse de este tipo de ataques, consiste en implementar la utilización de tokens CSRF. No es más que la asignación de un token, un identificador único, a una sesión, el cual se comparte al servidor y al navegador del cliente. De manera que, cuando un cliente realiza una solicitud, el servidor espera a que esta incluya en su contenido el token asignado al cliente.
A continuación se muestra una solicitud donde no se emplean estos tokens mencionados:
Una vez se implementa este sistema de tokens, las solicitudes pasan a verse tal que así:
De hecho, un ataque CSRF como el explicado anteriormente afectó en su día al plugin de WooCommerce para la pasarela de pagos de Paypal.
A continuación vemos dos fallas, relativamente recientes, de hace apenas unos meses, una de ellas con una valoración de 9.9 en las métricas CVSS.
Esta última se encuentra relacionada con la subida sin restringir de ficheros con vulnerabilidades en el plugin AutomateWoo, plugin dedicado a la automatización de marketing para WooCommerce, por ejemplo, para el envío de correos a clientes con carritos vacíos.
El siguiente gráfico muestra la publicación de vulnerabilidades de WooCommerce a lo largo del tiempo durante el año anterior, se indica código CVE, métrica CVSS y fecha de publicación.
Para ver de manera más detallada la información de cada una de estas vulnerabilidades (falla de seguridad, métricas relacionadas con la probabilidad de explotación…), debe accederse al siguiente enlace:
Vulnerabilidades publicadas de WooCommerce durante 2023
2024-03-19 Contests by Rewards Fuel < 2.0.65 - Authenticated (Contributor+) Stored Cross-Site Scripting via update_rewards_fuel_api_key
2024-03-19 Contests de Reward Fuel: XSS a través de la clave de la API
Esta vulnerabilidad permite realizar un ataque de ejecución de comandos cruzada a través del parámetro que maneja la clave de la API para Contests (plugin dedicado a realizar formularios y sobre todo concursos).
2024-03-21 Automatic de ValvePress: toma de control de sitios
Se trata de una vulnerabilidad muy básica pero con un alcance tremendo, basada en una simple inyección SQL en el proceso de autenticación de usuarios del plugin.
ZD YouTube FLV Player
Este plugin que permite incrustar vídeos de Youtube en una página web, es vulnerable a ataques de falsificación de solicitudes del lado del servidor, permitiendo que atacantes puedan hacer solicitudes a ubicaciones arbitrarias del servidor desde la propia web.
2023-06-29 WordPress Social Login and Register: bypass de autenticación
Esta vulnerabilidad en el plugin, permite rodear/evitar el sistema de autenticación debido a una encriptación insuficiente en el login del usuario permitiendo así que los atacantes puedan iniciar sesión como cualquier usuario que deseen.
A comienzos de enero de 2026, nuestro equipo de seguridad web de digitalDot identificó dos vulnerabilidades relevantes en el módulo gsnippetsreviews para PrestaShop, un módulo verificado y ampliamente utilizado en tiendas online basadas en esta plataforma. La detección se produjo a raíz de una incidencia real en un cliente nuestro,…
Si tienes una tienda online, seguro que te suena esta película: inviertes en tráfico, la gente entra, mira, añade al carrito… y desaparece. O compra una vez y no vuelve. Y mientras tanto, tú mandas algún newsletter suelto de vez en cuando, con un cupón y “a ver si cuela”.…
Google ha vuelto a poner en marcha su maquinaria de actualizaciones de algoritmo, y la comunidad SEO está atenta a los cambios que esto implica. En el año 2023, Google ha lanzado cuatro actualizaciones de núcleo, en marzo, agosto, octubre y noviembre. Aunque Google no proporciona detalles específicos sobre los…
La Unión Europea ha aprobado el Reglamento de Inteligencia Artificial (AI Act), la primera normativa integral del mundo diseñada para regular el diseño, desarrollo, uso y comercialización de sistemas de IA en la UE. Además si no lo cumples, puedes pagar una multa de hasta 35 millones de euros.El objetivo…
¿Crees que tu tienda online está a salvo solo porque “nunca te ha pasado nada”? Pues siento decirte que los hackers adoran a los que piensan así. Si tu Prestashop sigue en versiones antiguas (1.6, 1.7 o incluso una 8 sin actualizar), estás dejando la puerta abierta… y ni siquiera…
La Prestashop Developer Conference de noviembre de 2025 ha sido un evento clave para la comunidad de desarrolladores, agencias y tiendas online que trabajan con la plataforma Prestashop. Durante la conferencia, se anunciaron novedades de Prestashop, nuevas funcionalidades y mejoras significativas que cambiarán la forma en que interactuamos con la…
Canva ha vuelto a revolucionar el mundo del diseño con su Canva World Tour 2025, presentando una oleada de novedades que combinan inteligencia artificial, automatización y creatividad sin límites. Lo que antes era una herramienta para hacer posts bonitos, ahora es un ecosistema completo de diseño, marketing y análisis que…
Competir por las palabras clave de la competencia en Google Ads es una práctica cada vez más común entre las marcas que buscan ganar visibilidad y captar clientes potenciales. Tanto Google como Microsoft Ads permiten pujar por el nombre de un competidor, pero hacerlo sin una estrategia sólida puede resultar…
Tener una tienda online no se trata únicamente de vender productos. También implica cumplir con una normativa y serie de obligaciones legales que garantizan la transparencia, la protección de datos y los derechos de los consumidores. En digitalDot, como agencia de marketing digital, diseño y desarrollo web, ayudamos a ecommerce…