Icegram <= 3.1.19 - Authenticated (Contributor+) Stored Cross-Site Scripting via Campaign Message

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Icegram, que afecta a las versiones hasta la 3.1.19. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través de mensajes de campaña.

Contexto técnico

La vulnerabilidad se origina en la forma en que Icegram maneja los mensajes de campaña, permitiendo que se almacenen scripts maliciosos. Esto se traduce en un riesgo para los usuarios que visualizan el contenido afectado, ya que pueden ejecutar código no deseado en su navegador.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante inyectar código que podría robar información sensible o realizar acciones en nombre de otros usuarios. Esto podría comprometer la integridad de la plataforma y la confianza de los usuarios.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la creación de un mensaje de campaña que contenga código JavaScript malicioso, el cual se ejecuta cuando otros usuarios acceden a la campaña afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Icegram a la versión 3.1.20 o superior. Además, se sugiere revisar los mensajes de campaña existentes en busca de contenido sospechoso.

Señales de detección

Señales de riesgo incluyen la presencia de scripts inusuales en los mensajes de campaña o reportes de comportamientos extraños por parte de los usuarios al interactuar con el contenido del plugin.

Alcance afectado

Las versiones del plugin Icegram hasta la 3.1.19 están afectadas por esta vulnerabilidad. Se aconseja a los usuarios que verifiquen sus instalaciones para asegurar que están utilizando una versión segura.