Multi Rating <= 5.0.6 - Authenticated (Administrator+) Stored Cross-Site Scripting via plugin settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Multi Rating, afectando a versiones anteriores a la 5.0.6. Esta vulnerabilidad permite a los administradores ejecutar scripts maliciosos a través de la configuración del plugin.

Contexto técnico

El fallo se origina en la forma en que el plugin gestiona las entradas de los usuarios en su configuración. Un atacante autenticado con privilegios de administrador puede inyectar código JavaScript malicioso que se almacena y se ejecuta en el navegador de otros usuarios que acceden a la misma configuración.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad del sitio web, permitiendo a un atacante robar información sensible o realizar acciones no autorizadas en nombre de otros usuarios. Esto puede afectar la confianza de los usuarios y la integridad del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad accediendo a la configuración del plugin como administradores y añadiendo scripts maliciosos que se ejecutan en el contexto de otros usuarios que visitan la página.

Mitigación recomendada

Actualizar el plugin Multi Rating a la versión 5.0.6 o superior para mitigar el riesgo. Además, se recomienda revisar las configuraciones del plugin y limpiar cualquier entrada sospechosa que pueda haber sido inyectada.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas o la carga de contenido no autorizado en la configuración del plugin.

Alcance afectado

Las versiones del plugin Multi Rating anteriores a la 5.0.6 están afectadas por esta vulnerabilidad.