Menu Image, Icons made easy <= 3.10 - Authenticated (Administrator+) Stored Cross-Site Scripting via settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Menu Image, que afecta a versiones anteriores a la 3.11. Esta vulnerabilidad permite a un administrador autenticado inyectar scripts maliciosos a través de la configuración del plugin.

Contexto técnico

La vulnerabilidad se encuentra en la funcionalidad de configuración del plugin Menu Image, permitiendo a los administradores inyectar código JavaScript en los ajustes. Esto se debe a una falta de validación adecuada de los datos introducidos, lo que abre la puerta a ataques XSS almacenados.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad del sitio web, permitiendo a un atacante ejecutar scripts en el contexto de los usuarios que visitan el sitio. Esto podría resultar en el robo de información sensible o en la manipulación de la experiencia del usuario, afectando la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante la modificación de los ajustes del plugin por un administrador, introduciendo código JavaScript malicioso que se ejecutará cuando otros usuarios accedan a la página afectada.

Mitigación recomendada

Actualizar el plugin Menu Image a la versión 3.11 o superior. Además, se recomienda revisar los ajustes del plugin para detectar cualquier código malicioso que pudiera haber sido inyectado antes de la actualización.

Señales de detección

Señales de riesgo incluyen cambios inesperados en los ajustes del plugin, aparición de scripts no autorizados en el frontend del sitio y reportes de comportamientos inusuales por parte de los usuarios.

Alcance afectado

Las versiones del plugin Menu Image anteriores a la 3.11 son las afectadas. Se recomienda a todos los usuarios de este plugin verificar su versión y proceder a la actualización.