SuperSaaS – online appointment scheduling <= 2.1.12 - Authenticated (Contributor+) Stored Cross-Site Scripting via after Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin SuperSaaS para programación de citas, afectando a versiones hasta la 2.1.12. Esta falla permite la ejecución de scripts maliciosos en el contexto del usuario autenticado con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado del parámetro 'after', lo que permite a un atacante inyectar código JavaScript que se ejecuta en el navegador de otros usuarios. Esto se considera un ataque de XSS almacenado, ya que el código malicioso puede ser guardado y ejecutado posteriormente.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar información sensible, como credenciales de usuario, o realizar acciones no autorizadas en nombre de otros usuarios. Esto puede comprometer la integridad y la confianza en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando una solicitud con un payload malicioso que incluya el parámetro 'after'. Una vez almacenado, cualquier usuario que acceda a la funcionalidad afectada puede verse comprometido.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin SuperSaaS a la versión 2.1.13 o superior. Además, se sugiere implementar medidas de validación y saneamiento de entradas en todos los parámetros de entrada del usuario.

Señales de detección

Señales de posible explotación incluyen la detección de scripts inusuales en las respuestas del servidor o en las interacciones de los usuarios, así como registros de actividad que muestren cambios no autorizados en el contenido de las citas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.1.13 del plugin SuperSaaS. Es crucial revisar las instalaciones que utilizan este plugin para asegurar que están actualizadas.