Simple Like Page Plugin <= 1.5.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Simple Like Page' en versiones hasta la 1.5.1. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos mediante shortcodes.

Contexto técnico

El fallo se origina en la forma en que el plugin procesa los shortcodes, permitiendo la inyección de código JavaScript en el contenido que se muestra a otros usuarios. Esto representa un vector de ataque que puede ser explotado por usuarios con permisos de contribuyente o superiores.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la información y la seguridad de los usuarios del sitio, permitiendo a un atacante ejecutar scripts en el navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación del contenido mostrado.

Vector de explotación

Generalmente, la explotación se realiza al crear un shortcode que incluye código JavaScript malicioso, el cual es luego procesado y ejecutado en el navegador de otros usuarios que visualizan la página afectada.

Mitigación recomendada

Actualizar el plugin 'Simple Like Page' a la versión 1.5.2 o superior. Además, se recomienda revisar los permisos de los usuarios y limitar el acceso a funciones críticas del plugin a roles más altos si no es necesario.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas o la ejecución de scripts no autorizados en la consola del navegador.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.5.2 del plugin 'Simple Like Page'.