Gutenberg Blocks, Page Builder – ComboBlocks <= 2.2.87 - Authenticated (Contributor+) Stored Cross-Site Scripting via Accordion Block

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin ComboBlocks, afectando a versiones hasta la 2.2.87. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior ejecutar scripts maliciosos.

Contexto técnico

La vulnerabilidad se encuentra en el bloque de acordeón del plugin ComboBlocks, donde un atacante autenticado puede inyectar código JavaScript malicioso que se almacena y se ejecuta en el navegador de otros usuarios que visualizan el contenido afectado.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la suplantación de identidad y la manipulación de la experiencia del usuario. Esto puede llevar a una pérdida de confianza por parte de los usuarios y afectar la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación de contenido que incluye el código malicioso, el cual es luego visualizado por otros usuarios sin que estos sean conscientes del riesgo.

Mitigación recomendada

Actualizar el plugin ComboBlocks a la versión 2.2.88 o superior. Además, se recomienda realizar una auditoría de seguridad en el contenido existente para detectar posibles inyecciones de código malicioso.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas o la ejecución de scripts no autorizados en las páginas del sitio.

Alcance afectado

Las versiones del plugin ComboBlocks hasta la 2.2.87 están afectadas. Se recomienda a todos los usuarios de este plugin verificar su versión y proceder a la actualización.