WP Go Maps (formerly WP Google Maps) <= 9.0.36 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Go Maps, que afecta a las versiones hasta la 9.0.36. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se presenta en la forma en que el plugin WP Go Maps procesa los shortcodes, permitiendo la inyección de código JavaScript no validado. Esto expone a los usuarios a ataques XSS, donde un atacante puede ejecutar scripts en el navegador de otros usuarios que visualizan el contenido afectado.

Impacto potencial

El impacto puede ser significativo, ya que permite a un atacante ejecutar código en el contexto del navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación de sesiones. Esto compromete tanto la seguridad de los usuarios como la integridad del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la creación de un shortcode malicioso que es procesado por el plugin, permitiendo que el script se ejecute en el navegador de los visitantes del sitio.

Mitigación recomendada

Se recomienda actualizar el plugin WP Go Maps a la versión 9.0.37 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar los permisos de los roles de usuario y limitar el acceso a funcionalidades críticas del plugin.

Señales de detección

Se pueden detectar intentos de explotación mediante la monitorización de logs de acceso y errores, buscando patrones de inyección de scripts en las solicitudes de shortcodes. También se deben revisar los cambios no autorizados en las configuraciones del plugin.

Alcance afectado

Las versiones del plugin WP Go Maps hasta la 9.0.36 están afectadas por esta vulnerabilidad. Cualquier instalación que utilice estas versiones está en riesgo.