| Nombre del plugin | Prisna GWT – Traductor de Sitios Web de Google |
|---|---|
| Tipo de vulnerabilidad | Scripting entre sitios (XSS) |
| Número CVE | CVE-2024-12680 |
| Urgencia | Baja |
| Fecha de publicación de CVE | 2026-01-30 |
| URL de origen | CVE-2024-12680 |
CVE-2024-12680: XSS almacenado en el administrador en Prisna GWT – Traductor de Sitios Web de Google (≤ 1.4.13) — Lo que los propietarios de sitios de WordPress necesitan saber
Autor: Experto en seguridad de Hong Kong · Fecha: 2026-01-30
TL;DR — Una vulnerabilidad de Cross‑Site Scripting (XSS) almacenada (CVE‑2024‑12680) afecta a las versiones del plugin Prisna GWT – Traductor de Sitios Web de Google anteriores a 1.4.14. La explotación requiere que un administrador autenticado interactúe (se requiere interacción del usuario) pero puede resultar en la ejecución de scripts en el contexto del administrador. Actualice a 1.4.14 de inmediato, audite la base de datos en busca de scripts inyectados y aplique mitigaciones temporales, incluidas reglas de WAF y endurecimiento de cuentas de administrador.
Resumen
El 30 de enero de 2026 se publicó una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que afecta al plugin de WordPress “Prisna GWT – Google Website Translator” (versiones < 1.4.14) y se le asignó CVE-2024-12680. La vulnerabilidad se clasifica como un “Admin+ Stored XSS”, lo que significa que se puede atacar a una cuenta privilegiada (administrador), y una carga útil maliciosa guardada en los datos del plugin se ejecutará en el navegador cuando se visualicen o interactúe con ciertas páginas de administración o elementos de la interfaz de usuario.
Aunque la gravedad base de la vulnerabilidad es moderada (CVSS 5.9), el riesgo práctico está limitado por los privilegios requeridos y la interacción del usuario. Sin embargo, el XSS almacenado del lado del administrador puede habilitar acciones posteriores a la explotación, como:
- Inyección de JavaScript administrativo para facilitar la persistencia (por ejemplo, cambiar opciones del sitio o introducir puertas traseras)
- Robo de cookies o tokens de autenticación de administradores (toma de sesión)
- Activación de ataques automatizados adicionales o movimiento lateral cuando se encadena con otros fallos
- Inyección de elementos de interfaz de usuario maliciosos para robar credenciales o introducir redirecciones maliciosas
Esta guía explica el problema, pasos de detección seguros, opciones de mitigación y orientación de recuperación desde la perspectiva de un profesional de seguridad de Hong Kong.
¿Qué es exactamente un “Admin Stored XSS”?
El XSS almacenado ocurre cuando los datos proporcionados por el usuario se almacenan en el servidor y luego se muestran a los usuarios sin la debida sanitización o codificación. En un caso de “Admin Stored XSS”:
- La carga útil se almacena en las opciones del plugin, configuraciones del administrador u otro almacenamiento del lado del servidor por un atacante (o una cuenta de administrador comprometida).
- Cuando otro administrador (o el mismo administrador realizando una tarea rutinaria) abre una página de administración del plugin, el script almacenado se ejecuta en su contexto de navegador.
- Debido a que esto se ejecuta dentro del navegador del administrador y con los privilegios de ese usuario, puede realizar cualquier acción que el usuario pueda realizar a través de la interfaz de usuario, incluyendo cambiar configuraciones, editar archivos de temas/plugins, crear nuevos usuarios, etc.
En este informe, el plugin acepta entradas de administrador que no fueron suficientemente sanitizadas o escapadas antes de ser mostradas en la interfaz de usuario del administrador.
Alcance y versiones afectadas
- Plugin afectado: Prisna GWT – Traductor de Sitios Web de Google
- Versiones afectadas: cualquier versión anterior a 1.4.14 (< 1.4.14)
- Corregido en: 1.4.14
- CVE: CVE‑2024‑12680
- Privilegio requerido: Administrador
- Interacción del usuario: Requerida (el administrador debe ver/hacer clic en una página o enlace elaborado)
- Categoría OWASP: A3 — Inyección (Cross‑Site Scripting)
- Prioridad del parche: Baja (pero se recomienda implementar lo antes posible)
Por qué deberías seguir preocupado (incluso si necesita acceso de administrador)
Muchos compromisos de sitios comienzan con el robo de credenciales de administrador o ingeniería social. Los atacantes pueden obtener credenciales de administrador a través de phishing, contraseñas reutilizadas o herramientas de desarrollador comprometidas. El XSS almacenado en la interfaz de usuario del administrador es atractivo porque permite a los atacantes:
- Convertir una sola sesión de administrador comprometida en control persistente a través de inyección de código o cambios de configuración
- Eludir las protecciones del lado del servidor manipulando el navegador del administrador (persistencia del lado del cliente)
- Utilizar ingeniería social para engañar a un administrador para que cargue una URL elaborada o abra una página de configuración específica
Por lo tanto, a pesar del requisito de privilegio, los impactos posteriores pueden ser graves.
Flujo de explotación de alto nivel (no accionable)
Nota: No se proporciona código de explotación ni instrucciones de armamento paso a paso.
- Un usuario privilegiado es engañado para visitar una URL de administrador elaborada o interactuar con un formulario de entrada malicioso.
- El atacante utiliza configuraciones de plugins o campos de opción para almacenar una carga útil que contiene JavaScript.
- Cuando un administrador abre la página de administración del plugin relevante, el navegador ejecuta el script almacenado.
- El script actúa en el contexto de la sesión autenticada del administrador — cambiando opciones, agregando usuarios, exfiltrando tokens, etc.
La remediación inmediata es eliminar la ruta de salida vulnerable o actualizar al plugin parcheado.
Acciones inmediatas (qué hacer ahora mismo)
Si ejecutas sitios de WordPress con este plugin instalado, toma estos pasos de inmediato:
- Actualiza de inmediato
- Actualiza el plugin a la versión 1.4.14 (o posterior) en los entornos de producción, staging y desarrollo lo antes posible.
- Si las actualizaciones automáticas no están habilitadas, programa la actualización y centraliza las actualizaciones donde sea posible.
- Si no puedes actualizar de inmediato, desactiva el plugin
- Desactiva temporalmente el plugin hasta que se pueda actualizar. Esto elimina la salida vulnerable de la interfaz de usuario del administrador donde se pueden ejecutar cargas útiles almacenadas.
- Audita las cuentas y sesiones de administrador.
- Obligue a un restablecimiento de contraseña para todas las cuentas de administrador.
- Invalida todas las sesiones activas (usa herramientas de gestión de sesiones o WP‑CLI donde esté disponible).
- Habilita la Autenticación de Dos Factores (2FA) para todos los administradores.
- Escanea en busca de contenido de script inyectado.
- Buscar en la base de datos cadenas sospechosas comúnmente asociadas con XSS:
- Check plugin-specific options (wp_options rows with option_name matching the plugin’s keys), plus post_meta and term_meta areas the plugin may use.
- Run searches on a staging copy to avoid accidental changes to production data.
- Buscar en la base de datos cadenas sospechosas comúnmente asociadas con XSS:
- Use a Web Application Firewall (WAF) to create temporary protections
- Add WAF rules to block admin POST requests that contain script tags or dangerous attributes.
- Block requests with javascript: URIs or encoded script sequences (e.g. %3Cscript).
- Prevent unauthenticated or low‑privilege users from accessing sensitive admin endpoints.
- Review and clean any detected injections
- If you find injected scripts in the database, remove them carefully.
- Consider restoring from a clean backup if you cannot confidently remove all malicious entries.
- Rotate API keys and credentials stored in options after cleaning.
Detection: how to find signs of exploitation
Look for the following indicators:
