WP Live Chat Support <= 8.0.17 - Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Live Chat Support, afectando a las versiones hasta la 8.0.17. Esta vulnerabilidad, con una puntuación CVSS de 6.1, puede permitir a un atacante inyectar scripts maliciosos en el contexto del usuario.

Contexto técnico

El fallo se produce debido a la falta de validación y sanitización adecuada de las entradas del usuario, lo que permite la inyección de código JavaScript en las páginas donde se utiliza el plugin. Esto representa un vector de ataque que puede ser explotado en el contexto de sesiones de usuario autenticadas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la sesión del usuario, permitiendo a un atacante robar información sensible, como cookies de sesión, o redirigir a los usuarios a sitios maliciosos, lo que puede dañar la reputación del negocio y la confianza del cliente.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando mensajes de chat que contienen scripts maliciosos, los cuales se ejecutan en el navegador de los usuarios que interactúan con el chat, facilitando así el robo de información o la manipulación de la sesión.

Mitigación recomendada

Actualizar el plugin WP Live Chat Support a la versión 8.0.18 o superior, donde se ha corregido esta vulnerabilidad. Además, se recomienda implementar medidas de seguridad adicionales, como la validación de entradas y el uso de Content Security Policy (CSP).

Señales de detección

Señales de posible explotación incluyen la aparición de scripts inusuales en las respuestas del chat o comportamientos anómalos en las sesiones de usuario, así como alertas en los registros de seguridad del servidor.

Alcance afectado

Las versiones del plugin WP Live Chat Support hasta la 8.0.17 son vulnerables, lo que incluye todas las instalaciones que no han sido actualizadas a la versión segura.