Paid Memberships Pro <= 2.9.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Paid Memberships Pro, que afecta a las versiones hasta la 2.9.8. Este fallo permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de entradas en los shortcodes del plugin, lo que permite que un atacante que ya tiene acceso a la cuenta de un contribuidor o superior pueda inyectar código JavaScript que se ejecutará en el navegador de otros usuarios.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de robo de información sensible, suplantación de identidad y propagación de malware, lo que puede comprometer la seguridad de la instalación y la confianza de los usuarios.

Vector de explotación

El vector de explotación implica que un atacante autenticado utiliza un shortcode malicioso en una publicación o página, que al ser visualizada por otros usuarios, ejecuta el script inyectado en sus navegadores.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Paid Memberships Pro a la versión 2.9.9 o superior. Además, se debe revisar la configuración de permisos de los usuarios y considerar la implementación de medidas de sanitización y validación de entradas.

Señales de detección

Señales que pueden indicar un riesgo incluyen la detección de scripts no autorizados en las páginas generadas por el plugin, así como comportamientos inusuales de los usuarios que podrían sugerir la explotación de esta vulnerabilidad.

Alcance afectado

Las versiones afectadas son todas las versiones de Paid Memberships Pro hasta la 2.9.8. Las instalaciones que utilizan estas versiones están en riesgo si permiten la interacción de usuarios con rol de contribuidor o superior.