Preloader Plus – WordPress Loading Screen Plugin <= 2.2.1 - Authenticated (Author+) Stored Cross-Site Scripting via SVG File Upload

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Preloader Plus para WordPress, que afecta a versiones anteriores a la 2.2.1. Esta vulnerabilidad permite la ejecución de scripts maliciosos a través de la carga de archivos SVG por usuarios autenticados.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los archivos SVG subidos por los usuarios. Al no validar adecuadamente el contenido de estos archivos, un atacante puede inyectar código JavaScript que se ejecutará en el navegador de otros usuarios que visualicen la página afectada.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de sesiones de usuario y la posible defacement del sitio. Esto puede afectar la reputación del negocio y la confianza de los usuarios, además de implicar riesgos legales en caso de filtraciones de datos.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la subida de un archivo SVG malicioso por un usuario autenticado, seguido de la visualización de la página que procesa dicho archivo sin la debida sanitización.

Mitigación recomendada

Actualizar el plugin Preloader Plus a la versión 2.2.1 o superior. Además, se recomienda implementar medidas de seguridad adicionales, como la validación de archivos subidos y la desactivación de la carga de archivos SVG si no es necesaria.

Señales de detección

Señales de riesgo incluyen la detección de archivos SVG inusuales en el sistema y reportes de actividad sospechosa en los logs de acceso, así como quejas de usuarios sobre comportamientos extraños en el sitio.

Alcance afectado

Las versiones del plugin Preloader Plus anteriores a la 2.2.1 son las afectadas. Es crucial verificar las instalaciones en uso para garantizar que no se está utilizando una versión vulnerable.