Email Templates <= 1.3 - HTML Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de HTML en el plugin Email Templates hasta la versión 1.3, que permite a un atacante potencial ejecutar código malicioso. Esta vulnerabilidad tiene una severidad alta, con un CVSS de 8.8.

Contexto técnico

El fallo se origina en la forma en que el plugin procesa las entradas de los usuarios, permitiendo la inyección de código HTML no validado. Esto puede afectar a la presentación de correos electrónicos y a la seguridad general del sitio web.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de los correos electrónicos enviados desde el sitio, permitiendo a un atacante ejecutar scripts maliciosos que podrían robar información sensible o realizar phishing a los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando datos manipulados a través de formularios del plugin, lo que permite la inserción de código HTML malicioso en las plantillas de correo electrónico.

Mitigación recomendada

Se recomienda actualizar el plugin Email Templates a la versión 1.3.1 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar medidas de validación de entradas más estrictas.

Señales de detección

Señales de posible explotación incluyen correos electrónicos sospechosos enviados desde el sitio, así como actividad inusual en los formularios de entrada del plugin.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Email Templates hasta la 1.3. La versión 1.3.1 y posteriores ya no están en riesgo.