Materialis Companion <= 1.3.41 - Authenticated (Contributor+) Store Cross-Site Scripting via materialis_contact_form Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Materialis Companion, que afecta a versiones hasta la 1.3.41. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior ejecutar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

El fallo se origina en el shortcode 'materialis_contact_form', que no sanitiza adecuadamente las entradas del usuario. Esto permite la inyección de código JavaScript, lo que puede ser aprovechado por un atacante para ejecutar scripts en el contexto de la sesión de otro usuario.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar información sensible, como cookies de sesión, o realizar acciones no autorizadas en nombre de otros usuarios. Esto podría comprometer la integridad y la confianza en el sitio web.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la creación de un contenido malicioso que es enviado a través del formulario de contacto. Al acceder a la página afectada, otros usuarios podrían ejecutar el código inyectado sin su consentimiento.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.3.42 o superior. Además, se debe implementar una revisión de los permisos de usuario y aplicar medidas de saneamiento en las entradas de formularios.

Señales de detección

Señales de posible explotación incluyen la presencia de scripts inusuales en el contenido de las páginas generadas por el shortcode o comportamientos anómalos en las interacciones de los usuarios con el formulario de contacto.

Alcance afectado

Las versiones del plugin Materialis Companion hasta la 1.3.41 están afectadas, lo que incluye todas las instalaciones que no han sido actualizadas desde la publicación de la vulnerabilidad.