Vulnerabilidad en Groundhogg para WordPress (CVE-2025-1267)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
01/04/2025
Última modificación:
01/04/2025
Descripción
El complemento Groundhogg para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro "label" en versiones hasta la 3.7.4.1 incluida, debido a una depuración de entrada y al escape de salida insuficiente. Esto permite a atacantes autenticados, con acceso de administrador, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada. Esto solo afecta a instalaciones multisitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/groundhoggwp/groundhogg/commit/5206bf2482e2fe210ccca6e7dcfe62ffe85b3061
- https://plugins.trac.wordpress.org/browser/groundhogg/trunk/assets/js/admin/forms/form-builder-v2.js
- https://plugins.trac.wordpress.org/browser/groundhogg/trunk/assets/js/admin/forms/form-builder-v2.js#L859
- https://plugins.trac.wordpress.org/changeset/3264477/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/763a9aff-9bc0-4c79-9383-778a9034b436?source=cve