Restaurant Menu by MotoPress <= 2.4.1 - Admin+ Stored Cross Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross Site Scripting (XSS) almacenado en el plugin 'Restaurant Menu by MotoPress' en versiones hasta la 2.4.1. Esta vulnerabilidad puede permitir a un atacante ejecutar scripts maliciosos en el contexto de un usuario autenticado.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de los datos introducidos por el usuario en el panel de administración del plugin. Esto permite que se almacenen scripts maliciosos que se ejecutan en el navegador de otros usuarios que acceden a las páginas afectadas.

Impacto potencial

El impacto puede ser significativo, ya que un atacante podría robar información sensible, realizar acciones en nombre de otros usuarios o comprometer la integridad del sitio. Esto podría resultar en daños a la reputación de la empresa y pérdidas económicas.

Vector de explotación

La explotación típicamente ocurre cuando un atacante inyecta código JavaScript malicioso a través de los campos de entrada del plugin, que luego se almacena y se ejecuta cuando otros administradores o usuarios acceden a la interfaz afectada.

Mitigación recomendada

Actualizar el plugin 'Restaurant Menu by MotoPress' a la versión 2.4.2 o superior. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales como la validación de datos y el uso de un firewall de aplicaciones web.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el panel de administración, como redirecciones no autorizadas o mensajes de error relacionados con scripts. También se puede monitorear el tráfico de red en busca de solicitudes sospechosas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin 'Restaurant Menu by MotoPress' hasta la 2.4.1. Las instalaciones que no han actualizado a la versión 2.4.2 o superior están en riesgo.