WOOCS <= 1.3.9.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WooCommerce Currency Switcher, que afecta a las versiones hasta la 1.3.9.2. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la entrada de datos a través de shortcodes, permitiendo la inyección de código JavaScript. Esto se traduce en un riesgo para los usuarios que interactúan con el contenido afectado, ya que podría ejecutarse código no autorizado en sus navegadores.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, ya que permite a un atacante inyectar scripts que pueden robar información sensible, realizar acciones en nombre del usuario o desfigurar el sitio web. Esto podría dañar la reputación del negocio y comprometer la confianza de los clientes.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando contenido malicioso a través de shortcodes en páginas o publicaciones, que luego se ejecuta en el navegador de otros usuarios que visualizan el contenido afectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WooCommerce Currency Switcher a la versión 1.3.9.3 o superior. Además, se deben revisar los permisos de los roles de usuario y restringir el acceso a funciones críticas del plugin.

Señales de detección

Señales de riesgo incluyen la detección de scripts inusuales en el contenido generado por el plugin, así como informes de comportamientos extraños por parte de usuarios que interactúan con el sitio.

Alcance afectado

Las versiones del plugin WooCommerce Currency Switcher hasta la 1.3.9.2 son las afectadas, lo que incluye todas las instalaciones que no han sido actualizadas a la versión corregida.