Awesome Support <= 6.0.7 - Authenticated Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Awesome Support, que afecta a las versiones hasta la 6.0.7. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos en el sitio web, lo que puede comprometer la seguridad de los usuarios.

Contexto técnico

El fallo se origina en la forma en que el plugin gestiona las entradas de los usuarios, permitiendo la inyección de código JavaScript que se almacena y se ejecuta posteriormente. Esto se traduce en un vector de ataque que puede ser explotado por usuarios con acceso al sistema.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts maliciosos en el navegador de otros usuarios, lo que podría resultar en el robo de información sensible, como credenciales de inicio de sesión, y comprometer la integridad del sitio web.

Vector de explotación

Generalmente, el ataque se lleva a cabo mediante la inyección de un script malicioso en campos de entrada que son procesados por el plugin, lo que permite que el código se almacene y se ejecute en el contexto de otros usuarios que visitan la página afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Awesome Support a la versión 6.0.8 o superior. Además, se sugiere implementar medidas de validación y saneamiento de entradas en todas las áreas donde los usuarios pueden introducir datos.

Señales de detección

Se pueden identificar intentos de explotación mediante la monitorización de logs en busca de patrones inusuales en las solicitudes de entrada, así como la detección de scripts no autorizados en el contenido de la página.

Alcance afectado

Las versiones del plugin Awesome Support hasta la 6.0.7 están afectadas por esta vulnerabilidad. Las instalaciones que no han sido actualizadas a la versión 6.0.8 o posterior son especialmente vulnerables.