WooCommerce <= 2.6.3 - Stored Cross-Site Scripting via REST-API

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WooCommerce, que afecta a versiones hasta la 2.6.3. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través de la REST-API del plugin.

Contexto técnico

La vulnerabilidad se presenta en la forma en que WooCommerce maneja las entradas a través de su REST-API. Un atacante puede aprovechar esta debilidad para inyectar código JavaScript en las respuestas, lo que podría ser ejecutado en el navegador de un usuario que interactúe con la aplicación.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador del usuario, lo que podría llevar al robo de información sensible, como credenciales de acceso o datos personales. Esto podría dañar la reputación de la empresa y afectar la confianza de los clientes.

Vector de explotación

Generalmente, la explotación se realiza enviando solicitudes maliciosas a la REST-API de WooCommerce, que luego son procesadas por el plugin y devuelven contenido que incluye el script inyectado, ejecutándose en el navegador del usuario.

Mitigación recomendada

Para mitigar esta vulnerabilidad, es crucial actualizar WooCommerce a la versión 2.6.4 o superior, donde se ha corregido el fallo. Además, se recomienda implementar medidas de seguridad adicionales, como la validación y saneamiento de entradas en todas las interacciones con la API.

Señales de detección

Se pueden detectar intentos de explotación observando patrones inusuales en las solicitudes a la REST-API, así como la aparición de scripts no autorizados en las respuestas de la API.

Alcance afectado

Las versiones de WooCommerce hasta la 2.6.3 están afectadas. Las instalaciones que no han sido actualizadas a la versión 2.6.4 o superior son vulnerables.