Saltar navegación

Inicio Soporte Soporte en español [Esperando confirmación del usuario] Vulnerabilidades en la inserción de datos

[Esperando confirmación del usuario] Vulnerabilidades en la inserción de datos

Este es el foro de soporte técnico de WPML, el plugin multilingüe de WordPress.

Todas las personas pueden leerlo pero solo los clientes de WPML pueden ingresar comentarios. El equipo de WPML responde en los foros 6 días a la semana, 22 horas por día.

Sun Mon Tue Wed Thu Fri Sat
- 8:00 – 17:00 8:00 – 17:00 8:00 – 17:00 8:00 – 17:00 8:00 – 17:00 -
- - - - - - -

Zona horaria del soporte: Europe/Madrid (GMT+02:00)

Etiquetado: 

Este tema contiene 3 respuestas, tiene 0 voces.

Última actualización por Paola Mendiburu hace 3 días, 11 horas.

Asistido por: Paola Mendiburu.

Autor Publicaciones
junio 18, 2025 a las 12:23 pm #17146183

Sergio Almendrote

Antecedentes del problema:
Estoy intentando solucionar vulnerabilidades detectadas en el código, específicamente en la línea 22 de sitepress-multilingual-cms/inc/upgrade-functions/2.0.0/stepper.js: jQuery('#icl-migrate-progress').fadeIn().html(data.output).children('.message').html(data.message);

Síntomas:
Se han detectado vulnerabilidades en el código.

Preguntas:
¿Cómo puedo solucionar las vulnerabilidades detectadas en el código?
¿Hay alguna actualización o parche disponible para este problema?
junio 18, 2025 a las 12:43 pm #17146270

Sergio Almendrote

Estos son los archivos donde se detectan vulnerabilidades

Filename: plugins/sitepress-multilingual-cms/res/js/wp-nav-menus.js
Line: 20
Column: 48

Filename: plugins/sitepress-multilingual-cms/res/js/tags.js
Line: 131
Column: 75

Filename: plugins/sitepress-multilingual-cms/inc/upgrade-functions/2.0.0/stepper.js
Line: 22
Column: 66
Line: 22
Column: 105
Line: 27
Column: 62
Line: 39
Column: 58

Filename: plugins/sitepress-multilingual-cms/res/js/icl-admin-notifier.js
Line: 32
Column: 25

Filename: plugins/wpml-string-translation/inc/package-translation/inc/wpml-package-translation-metabox.class.php
Line: 169
Column: 10

Filename: plugins/sitepress-multilingual-cms/res/js/media/settings.js
Line: 273
Column: 53
Line: 302
Column: 53
Line: 55
Column: 34

Filename: plugins/sitepress-multilingual-cms/res/js/troubleshooting.js
Line: 130
Column: 6
junio 18, 2025 a las 2:25 pm #17147082

Paola Mendiburu
Partidario de WPML desde 11/2020

Idiomas: Inglés (English ) Español (Español ) Italiano (Italiano )

Zona horaria: Europe/Madrid (GMT+02:00)

Gracias.

Lo he pasado al segundo nivel.

Te aviso en cuanto tenga noticias.
julio 3, 2025 a las 7:36 am #17195585

Paola Mendiburu
Partidario de WPML desde 11/2020

Idiomas: Inglés (English ) Español (Español ) Italiano (Italiano )

Zona horaria: Europe/Madrid (GMT+02:00)

Esto es lo que me comentan los desarrolladores:
Este código solo se llama cuando el usuario migra desde una versión de WPML anterior a la 2.0.0. Una vez que el usuario haya migrado, este script ya no se llama.

También he revisado tags.js; el posible XSS no parece posible debido a la forma en que WP sanea después de una llamada AJAX y a la forma en que se construye el bloque selector/html.

Lo que van hacer es limpiar y evitar los falsos positivos en los escáneres de seguridad.