Responsive Pricing Table < 5.1.8 - Authenticated (Administrator+) Stored Cross-Site Scripting via plugin settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin 'Responsive Pricing Table' antes de la versión 5.1.8, que afecta a los administradores autenticados. Esta vulnerabilidad permite la ejecución de scripts maliciosos a través de la configuración del plugin.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de los usuarios en su configuración. Un atacante con privilegios de administrador podría inyectar código JavaScript malicioso que se almacenaría y ejecutaría en el navegador de otros usuarios que accedan a la misma configuración del plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los atacantes ejecutar scripts arbitrarios en el contexto de la sesión de otros administradores, lo que podría llevar al robo de credenciales, manipulación de datos o incluso la toma de control del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad requiere que un atacante autenticado (administrador) inyecte código malicioso a través de los ajustes del plugin. Una vez almacenado, cualquier usuario que acceda a esos ajustes podría ejecutar el script malicioso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, es crucial actualizar el plugin 'Responsive Pricing Table' a la versión 5.1.8 o superior. Además, se recomienda revisar las configuraciones del plugin y eliminar cualquier entrada sospechosa.

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en el panel de administración, como redirecciones inesperadas o la ejecución de scripts no autorizados en la interfaz de usuario.

Alcance afectado

Las versiones del plugin 'Responsive Pricing Table' anteriores a la 5.1.8 son las que presentan esta vulnerabilidad. Se recomienda a todos los usuarios de estas versiones que realicen la actualización de inmediato.