Advanced Access Manager <= 6.9.18 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Advanced Access Manager, que afecta a las versiones hasta la 6.9.18. Este fallo permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin procesa shortcodes, permitiendo que los scripts sean almacenados y ejecutados en el contexto de otros usuarios. Esto representa una superficie de ataque que puede ser aprovechada por usuarios con permisos limitados, lo que aumenta el riesgo de explotación.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los datos de los usuarios y permitir ataques de phishing o robo de información. Esto puede afectar la reputación del negocio y la confianza del usuario, así como implicar costes asociados a la mitigación de daños.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la inyección de un shortcode malicioso en una entrada o página, que luego es visualizada por otros usuarios, ejecutando el script en su navegador.

Mitigación recomendada

Se recomienda actualizar el plugin Advanced Access Manager a la versión 6.9.19 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales, como la validación de entradas y la sanitización de datos.

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador de los usuarios.

Alcance afectado

Las versiones del plugin Advanced Access Manager hasta la 6.9.18 están afectadas por esta vulnerabilidad. Se debe verificar la instalación del plugin para determinar si se encuentra en esta versión.