Image Map Pro – Drag-and-drop Builder for Interactive Images – Lite <= 1.0.0 - Missing Authorization to Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Image Map Pro Lite, que afecta a versiones anteriores a la 1.0.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en el contexto del usuario afectado.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en el manejo de datos almacenados, lo que permite la ejecución de scripts no autorizados. Esto afecta la superficie de ataque, ya que cualquier usuario con acceso a la funcionalidad vulnerable puede potencialmente explotar esta falla.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el navegador de otros usuarios, lo que podría resultar en el robo de información sensible o la manipulación de la sesión del usuario. Esto podría afectar la reputación de la empresa y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando enlaces maliciosos a usuarios, que al hacer clic en ellos, ejecutan el script inyectado en su navegador, lo que permite al atacante realizar acciones no autorizadas en su nombre.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.0.0 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales como la validación de entradas y la sanitización de datos.

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en los formularios de entrada, así como la detección de scripts no autorizados en las páginas de administración o en el contenido generado por los usuarios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.0.0 del plugin Image Map Pro Lite, publicado antes del 26 de junio de 2023.