Form Maker by 10Web <= 1.15.29 - Authenticated (Admin+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Form Maker by 10Web, que afecta a las versiones hasta la 1.15.29. Esta vulnerabilidad permite a un atacante autenticado ejecutar scripts maliciosos en el navegador de otros usuarios con privilegios de administrador.

Contexto técnico

El fallo se origina en la forma en que el plugin gestiona la entrada de datos, permitiendo que un usuario autenticado (con privilegios de administrador) inyecte código JavaScript malicioso que se almacena y se ejecuta posteriormente en el contexto de otros usuarios. Esto representa un vector de ataque a través de formularios manipulados.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la aplicación web, permitiendo a un atacante robar información sensible, realizar acciones no autorizadas en nombre de otros usuarios o propagar malware. El impacto en la reputación y confianza del negocio puede ser significativo.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la creación de un formulario que incluye código JavaScript malicioso, el cual se almacena y se ejecuta cuando otros usuarios acceden a la página afectada. Esto requiere que el atacante tenga acceso como administrador.

Mitigación recomendada

Actualizar el plugin Form Maker by 10Web a la versión 1.15.30 o superior. Además, se recomienda revisar las entradas de datos y aplicar medidas de sanitización y validación para prevenir futuras inyecciones de código.

Señales de detección

Señales de explotación incluyen la aparición de scripts no autorizados en la salida de formularios, comportamientos inusuales en la interfaz de usuario o informes de usuarios que experimentan redirecciones o mensajes extraños.

Alcance afectado

Las versiones del plugin Form Maker by 10Web hasta la 1.15.29 son las afectadas. Todas las instalaciones que utilicen estas versiones están en riesgo.