myCred – Loyalty Points and Rewards plugin <= 2.7.5.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via mycred_send Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin myCred, afectando a versiones hasta la 2.7.5.2. Esta falla permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se encuentra en el shortcode mycred_send, que no valida adecuadamente los datos de entrada, permitiendo que un atacante inyecte código JavaScript en el contexto de la sesión del usuario. Esto expone a los usuarios a ataques XSS, que pueden comprometer la seguridad de la sesión.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de la interfaz de usuario y la posibilidad de realizar acciones no autorizadas en nombre del usuario afectado. Esto puede dañar la reputación de la empresa y afectar la confianza de los usuarios.

Vector de explotación

La explotación se realiza mediante la creación de un contenido malicioso que se envía a través del shortcode mycred_send, el cual es procesado sin la debida sanitización, permitiendo la ejecución de scripts en el navegador de otros usuarios autenticados.

Mitigación recomendada

Actualizar el plugin myCred a la versión 2.7.6 o superior. Además, se recomienda revisar y restringir los permisos de los usuarios, así como implementar medidas de seguridad adicionales como Content Security Policy (CSP).

Señales de detección

Se deben monitorizar logs de actividad en busca de patrones inusuales de uso del shortcode mycred_send, así como alertas sobre cambios no autorizados en la interfaz de usuario.

Alcance afectado

Las versiones del plugin myCred hasta la 2.7.5.2 son vulnerables. Se recomienda a todos los usuarios de este plugin que realicen la actualización de inmediato.