Namaste! LMS <= 2.5.9.1 - Authenticated (Admin+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Namaste! LMS, que afecta a las versiones hasta la 2.5.9.1. Este fallo permite a un atacante autenticado inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en la forma en que el plugin maneja las entradas de los usuarios, permitiendo que se almacenen scripts maliciosos que se ejecutan en el navegador de otros usuarios. Esto se clasifica como un XSS almacenado, que se activa cuando un usuario accede a la página afectada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, ya que permite a un atacante inyectar código que podría robar información sensible, como credenciales de usuario, o realizar acciones no autorizadas en nombre de otros usuarios. Esto puede perjudicar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad generalmente requiere que el atacante tenga acceso como administrador, lo que limita el riesgo a usuarios con privilegios elevados. Una vez dentro, puede inyectar scripts que se ejecutarán en el contexto de otros usuarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Namaste! LMS a la versión 2.5.9.2 o superior. Además, se deben revisar y sanitizar todas las entradas de usuario para evitar inyecciones de código.

Señales de detección

Señales de riesgo incluyen la presencia de scripts no autorizados en el contenido de las páginas o comportamientos inusuales de los usuarios, como redirecciones inesperadas o solicitudes de información personal.

Alcance afectado

Las versiones del plugin Namaste! LMS hasta la 2.5.9.1 están afectadas. Los usuarios que utilizan versiones anteriores deben actualizar de inmediato para proteger sus sitios.