Advanced iFrame <= 2024.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Advanced iFrame, que afecta a versiones hasta la 2024.2. Este fallo permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin procesa los shortcodes, permitiendo la ejecución de código JavaScript no autorizado en el contexto de la página. Esto se considera una vulnerabilidad de XSS almacenada, ya que el código malicioso puede ser guardado y ejecutado posteriormente por otros usuarios.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de sesiones de usuario y la posibilidad de redirigir a los usuarios a sitios maliciosos. Esto puede comprometer la integridad del sitio y afectar la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad al crear contenido que incluya shortcodes maliciosos, que luego son ejecutados cuando otros usuarios acceden a la página afectada.

Mitigación recomendada

Se recomienda actualizar el plugin Advanced iFrame a la versión 2024.3 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar políticas de seguridad que limiten la capacidad de los colaboradores para insertar contenido potencialmente peligroso.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en el contenido generado por shortcodes y reportes de comportamientos inusuales por parte de los usuarios en el sitio.

Alcance afectado

Las versiones del plugin Advanced iFrame afectadas son todas las anteriores a la 2024.3. Esto incluye versiones desde su introducción hasta la 2024.2.