FooGallery Premium <= 2.3.3 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin FooGallery Premium, que afecta a las versiones hasta la 2.3.3. Esta vulnerabilidad puede ser explotada por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad se manifiesta en la forma en que el plugin gestiona y almacena datos introducidos por el usuario, permitiendo que scripts maliciosos sean inyectados y ejecutados en el navegador de otros usuarios que visualicen el contenido afectado.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de robo de información sensible, suplantación de identidad y compromisos a la integridad del sitio. Esto puede resultar en daños a la reputación del negocio y pérdida de confianza por parte de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al introducir código JavaScript malicioso en campos de entrada que son procesados por el plugin, lo que se ejecutará en el contexto de otros usuarios que accedan a las páginas afectadas.

Mitigación recomendada

Se recomienda actualizar el plugin FooGallery Premium a la versión 2.4.6 o superior. Además, es aconsejable revisar y limpiar cualquier entrada de usuario que pueda haber sido comprometida antes de la actualización.

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en la interfaz de usuario, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.4.6 del plugin FooGallery Premium. Se debe prestar especial atención a las instalaciones que permiten la entrada de datos por parte de usuarios con rol de colaborador o superior.