Plataforma
wordpress
Componente
soil
Corregido en
4.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Soil de Roots, afectando a las versiones desde la 4.0 hasta la 4.0. Esta vulnerabilidad reside en la función 'language_attributes' del archivo 'src/Modules/CleanUpModule.php', permitiendo la inyección de código malicioso. La actualización a la versión 4.1.0 soluciona esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web que utilizan el plugin Soil. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos o la modificación del contenido de la página web. La ejecución remota de este ataque aumenta significativamente el riesgo, ya que no requiere interacción directa del usuario. El impacto potencial incluye la comprometer la integridad y confidencialidad de la información del sitio web y de sus visitantes.
Esta vulnerabilidad fue publicada el 15 de diciembre de 2022. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario y la disponibilidad de una solución de parche. No se encuentra en el KEV de CISA.
Websites using the Roots Soil Plugin, particularly those running older versions (prior to 4.1.0), are at risk. Shared hosting environments where plugin updates are not managed by the website owner are especially vulnerable. Sites with custom themes or plugins that heavily rely on the language attributes function may face compatibility issues after upgrading.
• wordpress / composer / npm:
grep -r 'language_attributes' /var/www/html/wp-content/plugins/soil/• wordpress / composer / npm:
wp plugin list --status=active | grep soil• wordpress / composer / npm:
wp plugin update soildisclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Soil a la versión 4.1.0 o superior. Este parche corrige la vulnerabilidad XSS directamente. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. No existen configuraciones alternativas o reglas de WAF que puedan mitigar completamente esta vulnerabilidad sin la actualización del plugin.
Actualice el plugin soil a la versión 4.1.0 o posterior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) que permite la ejecución de código malicioso en el navegador de los usuarios. La actualización se puede realizar desde el panel de administración de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-4524 is a cross-site scripting (XSS) vulnerability affecting Roots Soil Plugin versions up to 4.0.x, allowing attackers to inject malicious scripts.
You are affected if you are using Roots Soil Plugin versions 4.0.x or earlier. Upgrade to 4.1.0 to mitigate the risk.
Upgrade the Roots Soil Plugin to version 4.1.0 or later. This version contains the fix for the XSS vulnerability.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation warrants prompt patching.
Refer to the Roots Soil Plugin documentation and release notes for details on the vulnerability and the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.