Accept Stripe Payments <= 2.0.86 - Authenticated (Contributor+) Stored Cross-Site Scripting via accept_stripe_payment_ng Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Accept Stripe Payments en versiones anteriores a la 2.0.87. Esta falla permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos en el sitio web.

Contexto técnico

La vulnerabilidad se encuentra en el shortcode 'accept_stripe_payment_ng', que no valida adecuadamente la entrada de datos, permitiendo que se almacenen scripts maliciosos en el servidor. Esto se traduce en un vector de ataque que puede ser utilizado por usuarios con permisos limitados para afectar a otros visitantes del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el navegador de los usuarios, lo que podría resultar en el robo de información sensible, suplantación de identidad o redirección a sitios maliciosos. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad suele llevarse a cabo mediante la creación de contenido malicioso a través del shortcode afectado, lo que permite a los atacantes ejecutar scripts en el contexto de otros usuarios autenticados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Accept Stripe Payments a la versión 2.0.87 o superior. Además, se sugiere revisar los permisos de usuario y aplicar medidas de hardening en la validación de entradas en el sistema.

Señales de detección

Señales de riesgo incluyen la presencia de scripts no autorizados en el contenido generado por el shortcode afectado, así como comportamientos inusuales en el tráfico de usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las versiones anteriores a la 2.0.87 del plugin Accept Stripe Payments.