Login with phone number <= 1.7.35 - Authenticated (Administrator+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Login with Phone Number' en versiones hasta 1.7.35. Esta vulnerabilidad permite a un administrador autenticado inyectar scripts maliciosos en la aplicación.

Contexto técnico

El fallo se presenta en la gestión de entradas de usuario, donde no se realiza una adecuada validación y sanitización de los datos. Esto permite que un atacante con privilegios de administrador pueda almacenar código JavaScript malicioso que se ejecutará en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la aplicación y permitir a un atacante robar información sensible o realizar acciones no autorizadas en nombre de otros usuarios, lo que puede afectar la reputación y la confianza en la plataforma.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante la inyección de scripts en formularios o campos de entrada que son procesados sin la debida sanitización, permitiendo que el código malicioso se ejecute en el contexto de otros usuarios.

Mitigación recomendada

Actualizar el plugin 'Login with Phone Number' a la versión 1.7.36 o superior. Además, se recomienda revisar las configuraciones de seguridad y realizar auditorías periódicas de los plugins instalados.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en la aplicación, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador de los usuarios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.7.36 del plugin 'Login with Phone Number'.