Vulnerabilidad en Goya para WordPress (CVE-2023-4017)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/06/2024
Última modificación:
15/04/2026
Descripción
El tema Goya para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros 'attra-color', 'attra-size' y 'product-cata' en versiones hasta la 1.0.8.7 incluida debido a una sanitización insuficiente de los insumos y al escape de los productos. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://goya.everthemes.com/help-center/changelog/#1-0-8-8-august-7-2023
- https://themeforest.net/item/goya-modern-woocommerce-theme/25175097
- https://www.wordfence.com/threat-intel/vulnerabilities/id/2cce2a10-3d5f-4249-9085-923a1fa76385?source=cve
- https://goya.everthemes.com/help-center/changelog/#1-0-8-8-august-7-2023
- https://themeforest.net/item/goya-modern-woocommerce-theme/25175097
- https://www.wordfence.com/threat-intel/vulnerabilities/id/2cce2a10-3d5f-4249-9085-923a1fa76385?source=cve