Strong Testimonials <= 2.40.0 - Stored Cross Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross Site Scripting (XSS) almacenado en el plugin Strong Testimonials, afectando a versiones hasta la 2.40.0. Esta vulnerabilidad puede permitir a un atacante inyectar scripts maliciosos en el contenido que se muestra a otros usuarios.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja y muestra los testimonios almacenados, lo que permite que un atacante inserte código JavaScript malicioso que se ejecute en el navegador de los usuarios que visualizan el contenido afectado.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la información presentada a los usuarios, permitiendo el robo de cookies, la suplantación de identidad y otras acciones maliciosas que pueden dañar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando testimonios maliciosos que contienen scripts, los cuales se ejecutan cuando otros usuarios acceden a la página que muestra estos testimonios.

Mitigación recomendada

Actualizar el plugin Strong Testimonials a la versión 2.40.1 o superior para corregir esta vulnerabilidad. Se recomienda también revisar y limpiar cualquier contenido de testimonios existente que pueda haber sido comprometido.

Señales de detección

Señales de riesgo incluyen la presencia de testimonios sospechosos o inusuales en el sitio, así como reportes de comportamientos extraños por parte de los usuarios, como redirecciones no autorizadas o ventanas emergentes.

Alcance afectado

Las versiones del plugin Strong Testimonials hasta la 2.40.0 son las afectadas. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión y proceder a la actualización.