AddThis <= 5.0.2 - Authenticated Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin AddThis en versiones hasta la 5.0.2. Este fallo permite a usuarios autenticados inyectar scripts maliciosos en el contenido que otros usuarios pueden visualizar.

Contexto técnico

La vulnerabilidad se manifiesta a través de la capacidad de un usuario autenticado para almacenar código JavaScript en el sistema, lo que puede ser ejecutado por otros usuarios al acceder a la página afectada. Esto se clasifica como un XSS almacenado, donde el código malicioso se guarda en el servidor.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante inyectar contenido malicioso que podría robar información sensible o comprometer la sesión de otros usuarios. Esto puede llevar a la pérdida de confianza de los usuarios y daños a la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente requiere que un atacante tenga acceso como usuario autenticado. Una vez dentro, puede utilizar formularios o campos de entrada para inyectar scripts maliciosos que se almacenan en la base de datos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin AddThis a la versión 5.0.3 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la validación y sanitización de entradas de usuarios y el uso de Content Security Policy (CSP).

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en el contenido del sitio, cambios inesperados en la base de datos o reportes de comportamientos extraños por parte de los usuarios.

Alcance afectado

Las versiones del plugin AddThis hasta la 5.0.2 están afectadas. Esto incluye todas las instalaciones que no han sido actualizadas a la versión 5.0.3 o superior desde su publicación el 10 de junio de 2015.