Site Reviews <= 6.11.6 - Authenticated (Author+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Site Reviews, que afecta a las versiones hasta la 6.11.6. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos en la aplicación.

Contexto técnico

La vulnerabilidad se encuentra en la funcionalidad del plugin que gestiona las reseñas de los usuarios. Un atacante con privilegios de autor puede aprovechar esta debilidad para almacenar código JavaScript malicioso, que se ejecutará en el navegador de otros usuarios al visualizar las reseñas afectadas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite que un atacante ejecute scripts en el contexto de otros usuarios, lo que podría llevar al robo de información sensible, suplantación de identidad o redirección a sitios maliciosos. Esto puede dañar la reputación del negocio y comprometer la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad generalmente requiere que el atacante tenga acceso como autor, lo que significa que debe estar autenticado en el sitio. Una vez dentro, puede crear o modificar reseñas para incluir el código malicioso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Site Reviews a la versión 6.11.7 o superior. Además, se sugiere revisar las reseñas existentes en busca de contenido sospechoso y aplicar políticas de validación y sanitización de entradas adecuadas.

Señales de detección

Señales de posible explotación incluyen reseñas que contienen scripts o enlaces inusuales, así como un aumento en los informes de comportamiento extraño por parte de los usuarios al interactuar con las reseñas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Site Reviews hasta la 6.11.6. Las instalaciones que no han sido actualizadas están en riesgo.