Vulnerabilidad en Xagio SEO – AI Powered SEO para WordPress (CVE-2025-3302)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
11/06/2025
Última modificación:
15/04/2026
Descripción
El complemento Xagio SEO – AI Powered SEO para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro 'HTTP_REFERER' en todas las versiones hasta la 7.1.0.16 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan al acceder un usuario a una página inyectada. La vulnerabilidad se corrigió parcialmente en la versión 7.1.0.0.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/xagio-seo/tags/7.0.0.34/modules/redirects/models/xagio_log404.php#L263
- https://plugins.trac.wordpress.org/browser/xagio-seo/tags/7.0.0.34/modules/redirects/models/xagio_log404.php#L335
- https://plugins.trac.wordpress.org/browser/xagio-seo/tags/7.0.0.34/modules/redirects/redirects.js#L554
- https://plugins.trac.wordpress.org/browser/xagio-seo/tags/7.0.0.34/modules/redirects/redirects.js#L662
- https://plugins.trac.wordpress.org/changeset/3281174/
- https://plugins.trac.wordpress.org/changeset/3305780/
- https://wordpress.org/plugins/xagio-seo
- https://www.wordfence.com/threat-intel/vulnerabilities/id/9e2afd66-c896-47c8-bf56-84a086087d55?source=cve
- https://xagio.com/redirects/