Favorites <= 2.3.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Favorites, en versiones hasta la 2.3.3. Esta falla permite a usuarios autenticados con rol de Contributor o superior ejecutar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin procesa los shortcodes, permitiendo la inyección de código JavaScript. Esto afecta a la superficie de ataque al permitir que usuarios con privilegios adecuados manipulen el contenido que se muestra a otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el navegador de otros usuarios, lo que podría comprometer la seguridad de la sesión del usuario o robar información sensible. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante la creación de un shortcode malicioso que es procesado por el plugin, permitiendo la ejecución de código JavaScript en el contexto de otros usuarios autenticados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Favorites a la versión 2.3.4 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar medidas de seguridad adicionales como la validación de entradas y el uso de Content Security Policy (CSP).

Señales de detección

Señales de riesgo incluyen la detección de comportamientos anómalos en el tráfico de usuarios, intentos de inyección de scripts en los shortcodes y reportes de usuarios que experimentan comportamientos extraños en la interfaz del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Favorites hasta la 2.3.3. Se debe tener en cuenta que la vulnerabilidad afecta a cualquier instalación que utilice estas versiones.