WBase de Datos de Vulnerabilidades de WordPress

Aviso de seguridad Cross Site Scripting en Livemesh (CVE20258780)

Cross Site Scripting (XSS) en el plugin Livemesh SiteOrigin Widgets de WordPress
0
Compartidos
0
0
0
0
Nombre del plugin Livemesh SiteOrigin Widgets
Tipo de vulnerabilidad Scripting entre sitios (XSS)
Número CVE CVE-2025-8780
Urgencia Baja
Fecha de publicación de CVE 2025-12-13
URL de origen CVE-2025-8780

Urgente: XSS almacenado de contribuyente autenticado en Livemesh SiteOrigin Widgets (≤ 3.9.1) — Lo que necesitas saber y cómo proteger tu sitio de WordPress

Fecha: 13 de diciembre de 2025
CVE: CVE-2025-8780
Severidad: CVSS 6.5 (Moderado)
Plugin afectado: Livemesh SiteOrigin Widgets ≤ 3.9.1
Corregido en: 3.9.2
Privilegio requerido para explotar: Contribuyente (autenticado)

Desde la perspectiva de un experto en seguridad de Hong Kong: este es un aviso pragmático y priorizado destinado a administradores, desarrolladores y respondedores de incidentes que operan WordPress en producción. La vulnerabilidad descrita a continuación permite que una cuenta de nivel de contribuyente persista JavaScript en la configuración del widget, que puede ejecutarse cuando es vista por administradores, editores o visitantes públicos. Lee y actúa de inmediato.

Resumen ejecutivo (elementos de acción rápida)

  • Actualiza Livemesh SiteOrigin Widgets a 3.9.2 (o posterior) de inmediato — esta versión contiene la solución.
  • Si no puedes actualizar de inmediato: elimina o desactiva los widgets afectados (Hero Header y Pricing Table), elimina los derechos de edición de contribuyente para usuarios no confiables, o aplica reglas genéricas de WAF/parche virtual para bloquear cargas útiles obvias.
  • Busca en tu sitio etiquetas de script sospechosas en las opciones de widgets, publicaciones y tablas de opciones; escanea en busca de signos de compromiso (nuevas cuentas de administrador, archivos de tema modificados, tareas programadas inesperadas o solicitudes de red salientes).
  • Si encuentras evidencia de explotación: aísla el sitio, rota credenciales y claves, elimina contenido malicioso, ejecuta escaneos completos de malware y restaura desde una copia de seguridad limpia si es necesario.

¿Cuál es la vulnerabilidad?

Esta es una vulnerabilidad de scripting en sitios cruzados (XSS) almacenada (CVE-2025-8780) en las versiones de Livemesh SiteOrigin Widgets hasta e incluyendo la 3.9.1. Ciertas entradas de widgets —específicamente los widgets Hero Header y Pricing Table— aceptaban HTML que no fue correctamente sanitizado o escapado al renderizarse. Un usuario con privilegios de Contribuidor podría almacenar JavaScript (por ejemplo,