Fuente base de datos: Wordfence Intelligence

Responsive Pricing Table <= 5.1.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2022-46855

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin 'Responsive Pricing Table' en versiones hasta 5.1.6. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se origina en la falta de saneamiento adecuado de los datos introducidos por los usuarios en el plugin, lo que permite que un atacante inyecte código JavaScript malicioso que se ejecuta en el navegador de otros usuarios que visualizan la tabla de precios.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible de los usuarios o realice acciones no autorizadas en su nombre, lo que podría comprometer la seguridad del sitio y la confianza de los usuarios.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la creación de una entrada maliciosa que se almacena en la base de datos y se muestra a otros usuarios, provocando la ejecución del script cuando acceden a la página afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 5.1.7 o superior. Además, se debe revisar y limpiar cualquier entrada de usuario que pueda haber sido comprometida.

Señales de detección

Señales de riesgo incluyen la aparición de scripts no autorizados en las páginas que utilizan el plugin, así como comportamientos inusuales en las interacciones de los usuarios con el sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin 'Responsive Pricing Table' hasta la 5.1.6. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión.