WooCommerce Product Table Lite <= 3.5.1 - Missing Authorization to (Subscriber+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WooCommerce Product Table Lite, que afecta a las versiones hasta la 3.5.1. Este fallo permite a usuarios no autorizados ejecutar scripts maliciosos en el contexto del navegador de otros usuarios.

Contexto técnico

El problema radica en la falta de autorización adecuada para ciertas funciones del plugin, lo que permite la inyección de scripts en las páginas donde se muestra la tabla de productos. Esto puede ser aprovechado por atacantes para realizar ataques XSS, afectando a los usuarios que visitan dichas páginas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los datos de los usuarios, permitiendo la sustracción de información sensible o la manipulación de sesiones de usuario. Esto puede afectar la reputación del negocio y la confianza de los clientes.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a la aplicación que incluyen scripts en los parámetros de entrada, que luego son procesados y ejecutados por el navegador de otros usuarios sin la debida validación.

Mitigación recomendada

Se recomienda actualizar el plugin WooCommerce Product Table Lite a la versión 3.8.6 o superior. Además, implementar medidas de seguridad adicionales como la validación de entradas y el uso de políticas de seguridad de contenido (CSP) para mitigar riesgos de XSS.

Señales de detección

Se pueden identificar intentos de explotación a través de logs de acceso que muestren patrones inusuales en las solicitudes, así como la presencia de scripts no autorizados en las páginas afectadas.

Alcance afectado

Las versiones del plugin WooCommerce Product Table Lite hasta la 3.5.1 son vulnerables. Se recomienda a los usuarios que verifiquen sus instalaciones y actualicen a la versión corregida.