Flexmls® IDX Plugin <= 3.14.26 - Authenticated (Contributor+) Stored Cross-Site Scripting via API parameters

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Flexmls® IDX en versiones hasta la 3.14.26. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través de parámetros de la API.

Contexto técnico

El fallo de seguridad se origina en la falta de validación adecuada de los parámetros de entrada en la API del plugin. Esto permite que un atacante autenticado pueda almacenar código JavaScript malicioso, que se ejecutará en el navegador de otros usuarios que accedan a la misma página.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad de los datos de los usuarios y permitir el robo de información sensible. Además, podría afectar la reputación de la empresa y la confianza de los usuarios en la plataforma.

Vector de explotación

La vulnerabilidad se explota enviando solicitudes a la API del plugin con parámetros manipulados que contienen scripts maliciosos, los cuales son almacenados y ejecutados en el contexto de otros usuarios.

Mitigación recomendada

Actualizar el plugin Flexmls® IDX a la versión 3.14.27 o posterior. Además, se recomienda realizar auditorías de seguridad periódicas y aplicar prácticas de codificación segura para evitar la inyección de scripts.

Señales de detección

Monitorear registros de acceso y actividad de usuarios, en particular aquellos con rol de colaborador o superior, para detectar patrones inusuales de interacción con la API del plugin.

Alcance afectado

Las versiones del plugin Flexmls® IDX hasta la 3.14.26 son vulnerables. Se debe verificar la versión instalada en todas las instalaciones que utilicen este plugin.