Dear Flipbook – PDF Flipbook, 3D Flipbook, PDF embed, PDF viewer <= 2.3.65 - DOM-Based Reflected Cross-Site Scripting via 'pdf-source'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Dear Flipbook, que afecta a las versiones hasta la 2.3.65. Esta vulnerabilidad puede permitir a un atacante inyectar scripts maliciosos a través del parámetro 'pdf-source'.

Contexto técnico

El fallo se presenta como un XSS reflejado basado en DOM, lo que significa que el código malicioso se ejecuta en el contexto del navegador del usuario sin necesidad de almacenamiento persistente. La superficie de ataque se centra en el parámetro 'pdf-source', que permite la manipulación de la carga de archivos PDF.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la seguridad de los usuarios que interactúan con el plugin, permitiendo a un atacante robar información sensible o realizar acciones no autorizadas en nombre del usuario. Esto puede resultar en pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

La vulnerabilidad se suele explotar mediante la creación de enlaces manipulados que contienen el código malicioso en el parámetro 'pdf-source'. Cuando un usuario hace clic en dicho enlace, el script se ejecuta en su navegador.

Mitigación recomendada

Se recomienda actualizar el plugin Dear Flipbook a la versión 2.3.67 o superior para mitigar esta vulnerabilidad. Además, se sugiere implementar políticas de seguridad como Content Security Policy (CSP) y validar/sanitizar todos los parámetros de entrada.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en la interacción del usuario con el plugin, así como la detección de scripts no autorizados en las páginas que utilizan el plugin.

Alcance afectado

Las versiones del plugin Dear Flipbook hasta la 2.3.65 son las afectadas. Se recomienda verificar todas las instalaciones que utilicen este plugin.