Post Grid, Form Maker, Popup Maker, WooCommerce Blocks, Post Blocks, Post Carousel – Combo Blocks <= 2.2.85 - Authenticated (Contributor+) Stored Cross-Site Scripting via redirectURL Parameter of Date Countdown Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Combo Blocks, que afecta a las versiones hasta la 2.2.85. Esta vulnerabilidad permite a un usuario autenticado con rol de colaborador o superior ejecutar scripts maliciosos a través del parámetro redirectURL del widget Date Countdown.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja el parámetro redirectURL en el widget de cuenta atrás. Al no validar adecuadamente la entrada, un atacante puede inyectar código JavaScript, lo que puede llevar a la ejecución de scripts en el contexto del navegador de otros usuarios.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible, manipulación de sesiones de usuario y la ejecución de acciones no autorizadas en nombre de otros usuarios. Esto podría comprometer la integridad de la plataforma y la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante la creación de un enlace malicioso que incluya un payload XSS en el parámetro redirectURL, el cual se activa cuando un usuario autenticado accede a este enlace.

Mitigación recomendada

Actualizar el plugin Combo Blocks a la versión 2.2.86 o superior. Además, se recomienda revisar las configuraciones de permisos de usuario y aplicar medidas de seguridad adicionales como la validación de entradas y la sanitización de datos.

Señales de detección

Señales de riesgo incluyen actividades inusuales en el registro de auditoría del sitio, como la ejecución de scripts no autorizados o cambios inesperados en el contenido del sitio web.

Alcance afectado

Las versiones del plugin Combo Blocks hasta la 2.2.85 son vulnerables. Esto incluye todas las instalaciones que utilicen esta versión o anteriores.