Futurio Extra <= 2.0.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Advanced Text Block Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Futurio Extra, afectando a las versiones anteriores a la 2.0.6. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

El fallo se origina en el widget Advanced Text Block, donde no se realiza la adecuada sanitización de los datos introducidos por los usuarios. Esto permite que un atacante, con permisos suficientes, pueda almacenar un script malicioso que se ejecutará en el navegador de otros usuarios que visualicen el contenido afectado.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios, permitiendo a un atacante robar información sensible, realizar phishing o manipular la experiencia del usuario. Además, puede dañar la reputación del sitio y afectar la confianza de los usuarios.

Vector de explotación

Generalmente, un atacante autenticado puede utilizar el widget Advanced Text Block para insertar un script malicioso. Este script se ejecutará cuando otros usuarios accedan a la página que contiene el bloque afectado.

Mitigación recomendada

Actualizar el plugin Futurio Extra a la versión 2.0.6 o superior. Además, se recomienda revisar los permisos de los usuarios y aplicar políticas de seguridad para limitar el acceso a funciones críticas del sitio.

Señales de detección

Señales de riesgo incluyen la presencia de contenido inusual en el widget Advanced Text Block o comportamientos extraños en el sitio, como redirecciones inesperadas o solicitudes de información personal.

Alcance afectado

Las versiones del plugin Futurio Extra anteriores a la 2.0.6 están afectadas. Es crucial verificar las instalaciones que utilizan este plugin y su versión.