GeoDirectory – WordPress Business Directory Plugin, or Classified Directory <= 2.3.48 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'gd_single_tabs' Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin GeoDirectory para WordPress, que afecta a versiones hasta la 2.3.48. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se encuentra en el shortcode 'gd_single_tabs', que no valida adecuadamente la entrada del usuario. Esto permite que se almacenen scripts en el servidor, los cuales pueden ser ejecutados en el navegador de otros usuarios que visualicen la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios finales, permitiendo el robo de información sensible o la manipulación de sesiones. Además, puede dañar la reputación del sitio y afectar la confianza de los usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante la inyección de código malicioso en el contenido accesible a otros usuarios. Esto se lleva a cabo por un usuario autenticado que tiene permisos de contribuidor o superiores, aprovechando la falta de validación en el shortcode.

Mitigación recomendada

Actualizar el plugin GeoDirectory a la versión 2.3.49 o superior. Además, se recomienda revisar los permisos de los usuarios y aplicar medidas de sanitización y validación en las entradas de los shortcodes.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no esperados en las páginas generadas por el shortcode 'gd_single_tabs' y reportes de comportamientos inusuales por parte de los usuarios.

Alcance afectado

Las versiones del plugin GeoDirectory hasta la 2.3.48 están afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión y apliquen las actualizaciones necesarias.