WooCommerce Google Feed Manager <= 2.4.2 - Authenticated (Admin+) SQL Injection to Reflected Cross-Site Scripting en WP Product Feed Manager (Cross-Site Scripting (XSS)) - version 2.6.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WooCommerce Google Feed Manager, que permite inyección SQL autenticada y XSS reflejado. Esta falla afecta a las versiones hasta la 2.4.2 y fue corregida en la versión 2.6.0.

Contexto técnico

La vulnerabilidad se origina en un fallo en la validación de entradas que permite a un atacante autenticado (con privilegios de administrador) ejecutar consultas SQL maliciosas. Esto puede llevar a la ejecución de scripts arbitrarios en el contexto del usuario, facilitando un ataque XSS reflejado.

Impacto potencial

El impacto potencial incluye la posibilidad de manipulación de datos y la ejecución de código malicioso, lo que puede comprometer la seguridad de la instalación de WordPress y afectar la confianza de los usuarios. También puede conllevar a un daño reputacional significativo para el negocio.

Vector de explotación

La explotación se realiza mediante el envío de solicitudes maliciosas a través del panel de administración, lo que permite la ejecución de código SQL no autorizado y la inyección de scripts en las páginas web que los usuarios visitan.

Mitigación recomendada

Actualizar el plugin WooCommerce Google Feed Manager a la versión 2.6.0 o superior. Además, realizar una revisión de los permisos de usuario y fortalecer las configuraciones de seguridad del sitio.

Señales de detección

Señales de riesgo incluyen actividad inusual en las consultas SQL del servidor y la aparición de scripts no autorizados en las páginas web. Monitorizar los logs de acceso al administrador puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin hasta la 2.4.2 están afectadas. Es crucial que todos los usuarios que utilicen este plugin revisen su versión y actualicen si es necesario.