Download Manager <= 3.3.12 - Authenticated (Author+) Stored Cross-Site Scripting via SVG File Upload

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Download Manager en versiones hasta la 3.3.12. Esta falla permite la ejecución de scripts maliciosos a través de la carga de archivos SVG por usuarios autenticados con rol de autor o superior.

Contexto técnico

El fallo se origina en la forma en que el plugin gestiona la carga de archivos SVG, lo que permite a usuarios autenticados inyectar código JavaScript malicioso. La superficie de ataque se amplía a cualquier usuario con permisos para subir archivos, lo que representa un riesgo significativo si el sitio web es utilizado por múltiples colaboradores.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la ejecución de scripts no autorizados en el contexto de otros usuarios, comprometiendo la seguridad de la información y la integridad del sitio. Esto puede resultar en robo de datos, suplantación de identidad y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad cargando un archivo SVG malicioso a través de la funcionalidad de carga del plugin, lo que desencadena la ejecución del script en el navegador de otros usuarios que visiten la página afectada.

Mitigación recomendada

Se recomienda actualizar el plugin Download Manager a la versión 3.3.13 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y restringir la carga de archivos a los roles necesarios.

Señales de detección

Monitorear los registros de actividad del sitio en busca de cargas inusuales de archivos SVG y revisar las sesiones de usuario en busca de comportamientos anómalos que puedan indicar explotación de la vulnerabilidad.

Alcance afectado

Las versiones del plugin Download Manager hasta la 3.3.12 son vulnerables. Se debe verificar la instalación y actualización a la versión corregida.