Restaurant Menu and Food Ordering <= 2.4.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Restaurant Menu and Food Ordering' en versiones hasta la 2.4.0. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior ejecutar scripts maliciosos a través de shortcodes.

Contexto técnico

El fallo se origina en la forma en que el plugin procesa los shortcodes, permitiendo que se inserten scripts maliciosos en el contenido. Esto se traduce en una superficie de ataque donde un atacante puede inyectar código JavaScript que se ejecute en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la seguridad de los usuarios del sitio, permitiendo el robo de información sensible o la manipulación de la sesión del usuario. Además, puede afectar la reputación del negocio al permitir que se realicen acciones no autorizadas en el sitio.

Vector de explotación

Generalmente, un atacante autenticado puede aprovechar esta vulnerabilidad al crear o modificar contenido que incluya shortcodes maliciosos, lo que provoca que otros usuarios que visualicen dicho contenido ejecuten el script malicioso en sus navegadores.

Mitigación recomendada

Actualizar el plugin 'Restaurant Menu and Food Ordering' a la versión 2.4.1 o superior. Además, se recomienda revisar los permisos de usuario y aplicar políticas de seguridad adecuadas para limitar el acceso a usuarios no confiables.

Señales de detección

Señales de riesgo incluyen la aparición de scripts no autorizados en las páginas del sitio, así como comportamientos inusuales en la interacción de los usuarios con el contenido del sitio.

Alcance afectado

Las versiones del plugin afectadas son todas las anteriores a la 2.4.1, por lo que se recomienda a los usuarios de versiones anteriores actualizar inmediatamente.