All-in-One WP Migration and Backup <= 7.97 - Authenticated (Administrator+) Stored Cross-Site Scripting via Import

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin All-in-One WP Migration y Backup, afectando a versiones hasta la 7.97. Esta vulnerabilidad permite a un administrador autenticado ejecutar scripts maliciosos mediante la función de importación.

Contexto técnico

La vulnerabilidad se produce debido a la falta de validación adecuada de datos en el proceso de importación del plugin. Esto permite que un atacante, con privilegios de administrador, inyecte código JavaScript malicioso que se ejecutará en el navegador de otros usuarios que visualicen ciertas páginas.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible, como credenciales de usuario, y comprometa la integridad del sitio. Esto puede llevar a daños reputacionales y financieros significativos para la organización afectada.

Vector de explotación

La explotación se realiza cuando un administrador carga un archivo malicioso a través de la funcionalidad de importación, lo que provoca que el script se ejecute en el contexto de otros usuarios que accedan a la página afectada.

Mitigación recomendada

Actualizar el plugin a la versión 7.98 o superior para mitigar la vulnerabilidad. Además, se recomienda realizar una auditoría de seguridad para identificar posibles configuraciones inseguras y aplicar prácticas de codificación segura.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en las páginas del sitio, así como comportamientos inusuales en la interacción de los usuarios con el sitio web.

Alcance afectado

Las versiones del plugin All-in-One WP Migration y Backup hasta la 7.97 son vulnerables. Se recomienda a todos los usuarios de este plugin que verifiquen su versión y actualicen inmediatamente.