Vulnerabilidades en la inserción de datos

Este hilo está resuelto. Aquí tienes una descripción del problema y la solución.

Problem:
El cliente está intentando solucionar vulnerabilidades detectadas en el código de WPML, específicamente en la línea 22 de

sitepress-multilingual-cms/inc/upgrade-functions/2.0.0/stepper.js

. Las vulnerabilidades se relacionan con el manejo de datos en jQuery.
Solution:
Este código solo se ejecuta cuando se migra desde una versión de WPML anterior a la 2.0.0 y no se llama después de completar la migración. Además, se ha revisado otro archivo,

tags.js

, y se determinó que un posible XSS no es viable debido a cómo WPML sanea los datos después de una llamada AJAX y a la estructura del bloque selector/html. Los desarrolladores están trabajando para limpiar y evitar los falsos positivos en los escáneres de seguridad.

Si esta solución no resuelve tu problema o si la información parece desactualizada, te recomendamos abrir un nuevo ticket de soporte. También es aconsejable revisar los problemas conocidos y confirmar que tienes instaladas las últimas versiones de los temas y plugins.

Este es el foro de soporte técnico de WPML, el plugin multilingüe de WordPress.

Todas las personas pueden leerlo pero solo los clientes de WPML pueden ingresar comentarios. El equipo de WPML responde en los foros 6 días a la semana, 22 horas por día.

Etiquetado: Bug

Este tema contiene 3 respuestas, tiene 0 voices.

Última actualización por Paola Mendiburu hace 4 meses.

Asistido por: Paola Mendiburu.

Autor	Publicaciones
junio 18, 2025 a las 12:23 pm #17146183
Sergio Almendrote	Antecedentes del problema: Estoy intentando solucionar vulnerabilidades detectadas en el código, específicamente en la línea 22 de sitepress-multilingual-cms/inc/upgrade-functions/2.0.0/stepper.js: jQuery('#icl-migrate-progress').fadeIn().html(data.output).children('.message').html(data.message); Síntomas: Se han detectado vulnerabilidades en el código. Preguntas: ¿Cómo puedo solucionar las vulnerabilidades detectadas en el código? ¿Hay alguna actualización o parche disponible para este problema?
junio 18, 2025 a las 12:43 pm #17146270
Sergio Almendrote	Estos son los archivos donde se detectan vulnerabilidades Filename: plugins/sitepress-multilingual-cms/res/js/wp-nav-menus.js Line: 20 Column: 48 Filename: plugins/sitepress-multilingual-cms/res/js/tags.js Line: 131 Column: 75 Filename: plugins/sitepress-multilingual-cms/inc/upgrade-functions/2.0.0/stepper.js Line: 22 Column: 66 Line: 22 Column: 105 Line: 27 Column: 62 Line: 39 Column: 58 Filename: plugins/sitepress-multilingual-cms/res/js/icl-admin-notifier.js Line: 32 Column: 25 Filename: plugins/wpml-string-translation/inc/package-translation/inc/wpml-package-translation-metabox.class.php Line: 169 Column: 10 Filename: plugins/sitepress-multilingual-cms/res/js/media/settings.js Line: 273 Column: 53 Line: 302 Column: 53 Line: 55 Column: 34 Filename: plugins/sitepress-multilingual-cms/res/js/troubleshooting.js Line: 130 Column: 6
junio 18, 2025 a las 2:25 pm #17147082
Paola Mendiburu Partidario de WPML desde 11/2020 Idiomas: Inglés (English ) Español (Español ) Italiano (Italiano ) Zona horaria: Europe/Madrid (GMT+01:00)	Gracias. Lo he pasado al segundo nivel. Te aviso en cuanto tenga noticias.
julio 3, 2025 a las 7:36 am #17195585
Paola Mendiburu Partidario de WPML desde 11/2020 Idiomas: Inglés (English ) Español (Español ) Italiano (Italiano ) Zona horaria: Europe/Madrid (GMT+01:00)	Esto es lo que me comentan los desarrolladores: Este código solo se llama cuando el usuario migra desde una versión de WPML anterior a la 2.0.0. Una vez que el usuario haya migrado, este script ya no se llama. También he revisado tags.js; el posible XSS no parece posible debido a la forma en que WP sanea después de una llamada AJAX y a la forma en que se construye el bloque selector/html. Lo que van hacer es limpiar y evitar los falsos positivos en los escáneres de seguridad.