Urgente: Complianz <= 7.4.3 XSS almacenado a través de Shortcode — Lo que los propietarios de sitios de WordPress deben hacer ahora

Autor: Experto en seguridad de Hong Kong

TL;DR

Se ha divulgado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin de Consentimiento de Cookies de Complianz GDPR/CCPA para WordPress que afecta a las versiones <= 7.4.3 (CVE-2025-11185). Un usuario autenticado con privilegios de Contribuidor (o superiores) puede inyectar JavaScript a través de los shortcodes del plugin. Esa carga útil se almacena y se renderiza más tarde, lo que permite la ejecución de código del lado del cliente en el contexto de los visitantes y administradores del sitio.

Si ejecutas este plugin, actúa rápidamente:

• Actualiza Complianz a la versión 7.4.4 o posterior de inmediato — esto soluciona completamente el problema.
• Si no puedes actualizar de inmediato, utiliza las mitigaciones a continuación: restringe las capacidades de contribuidor, busca y elimina shortcodes sospechosos y contenido similar a scripts, y aplica parches virtuales temporales a través de tu WAF o mecanismos de filtrado.
• Utiliza la lista de verificación de detección y respuesta a incidentes a continuación para validar y recuperar si es necesario.

Antecedentes: qué sucedió y por qué es importante

El plugin de consentimiento de cookies de Complianz expone un problema de XSS almacenado cuando ciertos shortcodes aceptan entradas no confiables que no se sanitizan ni codifican adecuadamente antes de la salida. Un atacante que pueda obtener una cuenta de nivel Contribuidor (por ejemplo, a través de registro o compromiso de cuenta) puede crear o editar contenido que contenga una carga útil de shortcode malicioso. Cuando ese contenido se renderiza en el frontend — o se ve en ciertos contextos de administración — el script malicioso se ejecuta en el navegador de la víctima.

El XSS almacenado es particularmente peligroso porque la carga útil se guarda en la base de datos del sitio y se ejecutará para cada visitante o administrador que vea la página afectada hasta que se elimine.

Datos clave de un vistazo

• Software afectado: plugin de Consentimiento de Cookies GDPR/CCPA de Complianz para WordPress
• Versiones vulnerables: <= 7.4.3
• Corregido en: 7.4.4
• CVE: CVE-2025-11185
• Privilegio requerido: Contribuyente (autenticado)
• Tipo: Cross-Site Scripting (XSS) almacenado
• Estado del parche: Actualización disponible — actualiza de inmediato

Causa raíz técnica (de alto nivel)

Los shortcodes permiten que los plugins acepten atributos y contenido que luego se renderizan como HTML. Cuando un plugin no logra sanitizar o escapar estos valores antes de la salida, un atacante puede insertar marcado o JavaScript que se ejecutará en los navegadores de los usuarios.

En este caso, el manejo de shortcodes del plugin aceptó datos controlados por el contribuidor y luego los salió sin suficiente codificación o filtrado. Esa combinación — creación de contenido autenticado más codificación de salida insegura — resulta en XSS almacenado. Este es un problema específico del plugin, no un problema con la funcionalidad de shortcode del núcleo de WordPress.

Impacto y escenarios en el mundo real

Las consecuencias del XSS almacenado van más allá de ser una “molestia del lado del cliente”:

• Robo de sesión: las cookies o tokens accesibles a JavaScript pueden ser exfiltrados.
• Escalación de privilegios: si un administrador ve el contenido malicioso, el atacante puede realizar acciones utilizando esa sesión.
• Daño a la reputación y SEO: anuncios inyectados, redirecciones o contenido malicioso dañan la confianza y las clasificaciones.
• Distribución de malware: redirecciones a sitios maliciosos o descargas automáticas.
• Exfiltración de datos: raspado de contenido sensible del DOM visible en el navegador.
• Compromiso persistente: las cargas útiles almacenadas permanecen hasta que se eliminan y pueden soportar ataques posteriores.

Los sitios que permiten a administradores o editores previsualizar contenido de colaboradores están en mayor riesgo: un atacante solo necesita que un usuario privilegiado vea el contenido malicioso para escalar el impacto.

Cómo un atacante podría explotar esto (paso a paso, sin código de explotación)

1. El atacante se registra como un Colaborador (o compromete una cuenta de Colaborador).
2. Agregan un shortcode con atributos o contenido malicioso a una publicación/página u otra área de contenido que acepte shortcodes.
3. La carga útil se guarda en la base de datos (almacenada) y puede parecer inocua en el editor.
4. Cuando un administrador/editor o visitante ve la página, el plugin renderiza el shortcode y emite el JavaScript malicioso en el HTML de la página.
5. El script se ejecuta en el navegador de la víctima y puede llevar a cabo acciones como robo de sesión, acciones administrativas similares a CSRF, desfiguración, redirecciones o exfiltración de datos.

Explotabilidad y probabilidad

Esta vulnerabilidad requiere una cuenta autenticada de nivel Colaborador. La probabilidad en el mundo real depende de cuán fácil sea para los atacantes obtener tal cuenta en su sitio:

• Registro abierto: mayor riesgo — los atacantes pueden registrarse por sí mismos.
• Registro moderado: riesgo moderado (compromiso o ingeniería social posible).
• Registro restringido: menor riesgo.

El CVSS publicado es 6.5 (Medio), pero si los administradores previsualizan regularmente el contenido de los colaboradores, el impacto práctico puede ser mayor.

Indicadores de Compromiso (IoCs) — qué buscar

Busque en su sitio y registros estas señales comunes. No son exhaustivas, pero capturarán muchos casos.

Comprobaciones de contenido y base de datos

• Nuevas publicaciones/páginas editadas que contienen códigos cortos inesperados o nombres de códigos cortos desconocidos relacionados con funciones de consentimiento de cookies o privacidad.
• Publicaciones o entradas meta que contienen etiquetas de script (se muestran como
  Revisa Mi Pedido

  0

  Subtotal

  Impuestos y envío calculados en la caja

  Pagar