Form Maker by 10Web <= 1.15.33 - Authenticated (Administrator+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Form Maker de 10Web, que afecta a las versiones hasta la 1.15.33. Esta vulnerabilidad permite a un administrador autenticado ejecutar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja la entrada de datos, permitiendo que se almacenen scripts maliciosos. La superficie de ataque se centra en usuarios con privilegios de administrador, quienes pueden inyectar código malicioso que se ejecutará en el contexto de otros usuarios que visualicen el contenido afectado.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible, suplantación de identidad y compromisos de seguridad en el sitio web. Además, puede afectar la reputación de la organización y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad al inyectar scripts maliciosos a través de formularios o campos de entrada que no están correctamente sanitizados, lo que permite que se ejecuten en el navegador de otros usuarios.

Mitigación recomendada

Se recomienda actualizar el plugin Form Maker a la versión 1.15.34 o superior para mitigar la vulnerabilidad. Además, se sugiere revisar y sanitizar adecuadamente todas las entradas de usuario en el sitio web.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador de los usuarios.

Alcance afectado

Las versiones del plugin Form Maker hasta la 1.15.33 están afectadas. Se debe verificar la instalación actual del plugin para asegurar que no se está utilizando una versión vulnerable.