Vulnerabilidad en WP-Members Membership Plugin para WordPress (CVE-2025-4610)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
17/05/2025
Última modificación:
19/05/2025
Descripción
El complemento WP-Members Membership Plugin para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode wpmem_user_memberships en todas las versiones hasta la 3.5.2 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-members/tags/3.5.2/includes/class-wp-members-products.php#L115
- https://plugins.trac.wordpress.org/browser/wp-members/tags/3.5.2/includes/class-wp-members-products.php#L660
- https://plugins.trac.wordpress.org/changeset?old_path=/wp-members&old=3240295&new_path=/wp-members&new=3293207&sfp_email=&sfph_mail=
- https://wordpress.org/plugins/wp-members/#developers
- https://www.wordfence.com/threat-intel/vulnerabilities/id/3ff96d74-8f20-49a6-bd02-0bfe3498b599?source=cve