Pricing Table by Supsystic <= 1.9.12 - Authenticated (Admin+) Content Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de contenido en el plugin 'Pricing Table by Supsystic' en versiones hasta 1.9.12, que afecta a usuarios autenticados con privilegios de administrador. Esta vulnerabilidad tiene una baja gravedad, con un CVSS de 2.7.

Contexto técnico

La vulnerabilidad permite a un usuario autenticado con privilegios de administrador inyectar contenido malicioso en el sistema. Esto se debe a una falta de validación adecuada de los datos de entrada, lo que abre una superficie de ataque para la modificación no autorizada de la información.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que un atacante altere el contenido visible para otros usuarios, lo que podría afectar la integridad de la información y la confianza de los usuarios en el sitio. Aunque la gravedad es baja, puede ser utilizada como un vector para ataques más complejos.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante el acceso al panel de administración del plugin, donde un atacante puede introducir contenido malicioso que se reflejará en las tablas de precios generadas por el plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.9.13 o superior. Además, es aconsejable revisar los permisos de los usuarios y limitar el acceso a funcionalidades críticas del plugin solo a aquellos que realmente lo necesiten.

Señales de detección

Señales que pueden indicar un posible intento de explotación incluyen cambios no autorizados en el contenido de las tablas de precios y registros de actividad inusuales en el panel de administración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.9.13 del plugin 'Pricing Table by Supsystic'.