Autoptimize <= 3.1.0 - Authenticated (Admin+) Stored Cross-Site Scripting via Critical CSS Settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Autoptimize, que afecta a las versiones hasta la 3.1.0. Este fallo permite a un administrador autenticado inyectar scripts maliciosos a través de la configuración de CSS crítico.

Contexto técnico

La vulnerabilidad se manifiesta en la gestión de las configuraciones de CSS crítico dentro del plugin. Al permitir la entrada de datos sin la debida validación, un atacante con privilegios de administrador puede inyectar código JavaScript que se ejecutará en el navegador de otros usuarios, comprometiendo así la integridad de la aplicación.

Impacto potencial

El potencial impacto de esta vulnerabilidad es medio, con un CVSS de 5.5, lo que podría permitir a un atacante ejecutar scripts en el contexto del navegador de otros administradores o usuarios. Esto podría resultar en el robo de información sensible o la manipulación de la interfaz de usuario.

Vector de explotación

La explotación de esta vulnerabilidad ocurre cuando un atacante autenticado, con acceso a la configuración del plugin, introduce código malicioso en los ajustes de CSS crítico. Este código se ejecutará cuando otros usuarios accedan a las páginas afectadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Autoptimize a la versión 3.1.1 o superior. Además, es aconsejable revisar las configuraciones de CSS crítico para eliminar cualquier código sospechoso y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de riesgo incluyen la detección de cambios no autorizados en las configuraciones del plugin, así como la presencia de scripts inusuales en las páginas servidas a los usuarios.

Alcance afectado

Las versiones del plugin Autoptimize hasta la 3.1.0 son las afectadas. Cualquier instalación que utilice estas versiones está en riesgo.