Album and Image Gallery with Lightbox – Flagallery Photo Portfolio <= 6.1.2 - Authenticated (Admin+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Album and Image Gallery with Lightbox – Flagallery Photo Portfolio' en versiones hasta la 6.1.2. Este fallo permite a un atacante autenticado inyectar scripts maliciosos en el sistema.

Contexto técnico

La vulnerabilidad se presenta como un XSS almacenado, lo que significa que los scripts inyectados se almacenan en el servidor y se ejecutan cuando otros usuarios acceden a la galería de imágenes. Esto puede afectar a la seguridad de los usuarios que interactúan con el contenido afectado.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que permite a un atacante ejecutar código JavaScript en el contexto de otros usuarios, lo que podría resultar en el robo de información sensible, suplantación de identidad o redirección a sitios maliciosos.

Vector de explotación

La explotación de esta vulnerabilidad requiere que el atacante tenga acceso administrativo al sitio, permitiendo la inyección de scripts maliciosos a través de campos de entrada del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 6.1.2 o superior. Además, se deben revisar las configuraciones de seguridad y considerar implementar medidas de validación y sanitización de entradas en el sitio.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en las páginas de la galería o comportamientos inusuales en la interacción de los usuarios con el contenido del plugin.

Alcance afectado

Las versiones afectadas de este plugin son todas las anteriores a la 6.1.2. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión actual.