BMI Adult & Kid Calculator <= 1.2.2 - Reflected Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin BMI Adult & Kid Calculator en versiones hasta la 1.2.2. Esta falla permite a un atacante inyectar scripts maliciosos en el contexto del navegador de la víctima.

Contexto técnico

El fallo se produce debido a la falta de validación y saneamiento adecuado de las entradas del usuario, lo que facilita la inyección de código JavaScript. La superficie de ataque se amplía a cualquier usuario que interactúe con las funciones del plugin que manejan entradas no filtradas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios, permitiendo a un atacante robar información sensible o realizar acciones no autorizadas en nombre de la víctima. Esto puede llevar a la pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando enlaces maliciosos a los usuarios, que al hacer clic pueden ejecutar el script inyectado en su navegador, afectando su sesión actual.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.2.2 o superior. Además, se sugiere implementar medidas de seguridad adicionales como la validación de entradas y el uso de Content Security Policy (CSP).

Señales de detección

Se pueden detectar intentos de explotación observando actividades inusuales en los registros de acceso, como patrones de URL que contienen scripts o parámetros sospechosos en las solicitudes.

Alcance afectado

Las versiones del plugin BMI Adult & Kid Calculator anteriores a la 1.2.2 son vulnerables. Es importante verificar la instalación de este plugin en todas las páginas web que lo utilicen.