Fitness calculators plugin <= 2.0.8 - Authenticated (Administrator+) Stored Cross-Site Scripting via admin settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Fitness Calculators' en versiones hasta la 2.0.8. Esta vulnerabilidad permite a un administrador autenticado ejecutar scripts maliciosos a través de la configuración del plugin.

Contexto técnico

La vulnerabilidad se manifiesta en los ajustes del plugin, donde los datos introducidos por el usuario no son correctamente sanitizados. Esto permite que un atacante con acceso de administrador inyecte código JavaScript que se ejecutará en el navegador de otros usuarios que accedan a la misma página.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible, manipulación de sesiones de usuario y difusión de malware. Aunque la severidad se clasifica como media, el hecho de que se requiera acceso administrativo puede limitar el riesgo, pero no lo elimina por completo.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la inyección de scripts maliciosos en los campos de configuración del plugin por parte de un administrador. Una vez que se guarda la configuración, el script se ejecuta cuando otros administradores o usuarios acceden a la interfaz del plugin.

Mitigación recomendada

Actualizar el plugin 'Fitness Calculators' a la versión 2.0.9 o superior. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de seguridad adicionales, como la validación y sanitización de entradas en las configuraciones.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin y reportes de comportamientos extraños en la interfaz de administración. También se pueden observar intentos de inyección de código en los logs del servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.0.9 del plugin 'Fitness Calculators'.