Custom Field Template <= 2.6.1 - Authenticated (Admin+) Stored Cross-Site Scritping

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin Custom Field Template en versiones hasta la 2.6.1. La gravedad de esta vulnerabilidad se clasifica como media, con un puntaje CVSS de 4.4.

Contexto técnico

La vulnerabilidad permite a un atacante autenticado con privilegios de administrador inyectar scripts maliciosos que se almacenan y ejecutan en el navegador de otros usuarios. Esto ocurre debido a la falta de validación adecuada de los datos introducidos en los campos personalizados.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de la sesión del usuario y la posible propagación de malware. Esto puede afectar la confianza de los usuarios y la reputación de la organización.

Vector de explotación

El vector de explotación común implica que un atacante autenticado aproveche la vulnerabilidad para insertar código JavaScript malicioso en los campos personalizados, que luego se ejecuta en el contexto de otros usuarios que visualizan esos campos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Custom Field Template a la versión 2.6.2 o superior. Además, se sugiere implementar medidas de validación y saneamiento de entradas en todos los campos personalizados.

Señales de detección

Señales de riesgo pueden incluir la aparición de comportamientos inusuales en la interfaz de usuario, alertas de seguridad en el navegador sobre scripts no confiables, o reportes de usuarios sobre redirecciones inesperadas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Custom Field Template hasta la 2.6.1. Las instalaciones que no han sido actualizadas a la versión 2.6.2 están en riesgo.