FooGallery – Responsive Photo Gallery, Image Viewer, Justified, Masonry & Carousel <= 2.4.31 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin FooGallery, que afecta a las versiones hasta la 2.4.31. Esta falla permite a usuarios autenticados con rol de contribuyente o superior ejecutar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

El fallo se origina en la manipulación inadecuada de datos en el lado del cliente, lo que permite la inyección de código JavaScript a través de entradas que no son debidamente sanitizadas. Esto afecta a la superficie de ataque principalmente en las interfaces donde los usuarios pueden interactuar con el contenido de la galería.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la seguridad de los usuarios, permitiendo a un atacante robar cookies, sesiones o realizar acciones no autorizadas en nombre del usuario. Esto puede resultar en daños a la reputación del negocio y pérdida de confianza por parte de los usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación de contenido malicioso que se presenta a otros usuarios a través de la galería de imágenes, aprovechando el acceso de usuarios autenticados para insertar el código malicioso.

Mitigación recomendada

Se recomienda actualizar el plugin FooGallery a la versión 2.4.32 o superior de inmediato. Además, es aconsejable revisar las configuraciones de seguridad y aplicar medidas de hardening en la gestión de usuarios y permisos.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en la galería de imágenes, como la ejecución de scripts no autorizados o la manipulación del contenido visible por los usuarios.

Alcance afectado

Las versiones del plugin FooGallery desde la 2.4.31 y anteriores están afectadas. La vulnerabilidad ha sido corregida en la versión 2.4.32.