Taskbuilder – WordPress Project & Task Management plugin <= 3.0.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via wppm_tasks Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Taskbuilder para WordPress, que afecta a las versiones hasta la 3.0.6. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se presenta a través del shortcode 'wppm_tasks', el cual no sanitiza adecuadamente los datos de entrada, permitiendo que un atacante inyecte código JavaScript que se ejecutará en el navegador de otros usuarios que visualicen la página afectada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar información sensible, realizar acciones en nombre de otros usuarios o redirigir a los visitantes a sitios maliciosos, lo que puede comprometer la integridad y reputación del negocio.

Vector de explotación

La explotación se lleva a cabo mediante la inclusión de scripts maliciosos en las entradas del shortcode, que son visibles para otros usuarios con permisos de visualización, como administradores o editores.

Mitigación recomendada

Actualizar el plugin Taskbuilder a la versión 3.0.7 o superior. Además, se recomienda revisar los permisos de usuario y considerar la implementación de medidas de seguridad adicionales, como un firewall de aplicaciones web.

Señales de detección

Señales de riesgo incluyen la presencia de scripts no autorizados en las páginas generadas por el shortcode 'wppm_tasks', así como reportes de comportamiento inusual por parte de los usuarios.

Alcance afectado

Las versiones del plugin Taskbuilder hasta la 3.0.6 son las afectadas. Es crucial verificar las instalaciones que utilicen este plugin para asegurar que no están en riesgo.