YourChannel <= 1.2.1 - Missing Authorization Checks leading to Authenticated (Subscriber+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin YourChannel, que permite la ejecución de scripts maliciosos debido a la falta de comprobaciones de autorización. Este fallo afecta a las versiones hasta la 1.2.1 y ha sido corregido en la versión 1.2.2.

Contexto técnico

La vulnerabilidad se presenta como una falta de verificación de autorización en ciertas funcionalidades del plugin YourChannel, lo que permite a usuarios autenticados con el rol de suscriptor o superior inyectar código JavaScript malicioso, resultando en un ataque de Cross-Site Scripting (XSS) almacenado.

Impacto potencial

El impacto potencial incluye la posibilidad de comprometer la seguridad de la información de los usuarios, así como la manipulación del contenido del sitio web. Esto puede llevar a pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

El vector de explotación generalmente implica que un atacante autenticado envíe datos maliciosos a través de formularios o entradas que no validan adecuadamente la autorización, permitiendo así la inyección de scripts.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin YourChannel a la versión 1.2.2 o superior. Además, se sugiere revisar las configuraciones de permisos de usuario y aplicar medidas de hardening en el sitio web.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en el contenido del sitio, así como actividades inusuales en las cuentas de usuarios suscriptores o superiores.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.2.2 del plugin YourChannel.