Flatsome | Multi-Purpose Responsive WooCommerce Theme <= 3.18.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Multiple Shortcodes

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el tema Flatsome para WordPress, que afecta a las versiones hasta la 3.18.7. Este fallo puede ser explotado por usuarios autenticados con permisos de contribuidor o superiores.

Contexto técnico

La vulnerabilidad se origina en múltiples shortcodes del tema Flatsome, permitiendo la inyección de scripts maliciosos que se ejecutan en el navegador de los usuarios. Esto se considera un fallo de XSS almacenado, donde el código malicioso se almacena en el servidor y se presenta a otros usuarios.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la suplantación de identidad de usuarios y la posibilidad de que los atacantes realicen acciones no autorizadas en nombre de los usuarios afectados. Esto puede comprometer la integridad y la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando contenido malicioso a través de los shortcodes del tema, que luego es ejecutado en el contexto de otros usuarios que visitan el sitio web.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el tema Flatsome a la versión 3.19.0 o superior. Además, es aconsejable revisar y restringir los permisos de los usuarios, así como implementar medidas de seguridad adicionales como la validación de entradas y el uso de plugins de seguridad.

Señales de detección

Señales de posible explotación incluyen la aparición de contenido no autorizado en el sitio, comportamientos inusuales de usuarios autenticados y alertas de seguridad de plugins de monitoreo.

Alcance afectado

Las versiones del tema Flatsome hasta la 3.18.7 están afectadas por esta vulnerabilidad, por lo que se debe verificar la versión instalada en cada sitio web que utilice este tema.