WPC Smart Quick View for WooCommerce <= 4.2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via woosq_btn Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin WPC Smart Quick View para WooCommerce, que afecta a las versiones hasta la 4.2.1. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior ejecutar código malicioso en el navegador de otros usuarios.

Contexto técnico

El fallo se produce a través del shortcode 'woosq_btn', que no valida adecuadamente las entradas, permitiendo la inyección de scripts maliciosos. Esto puede ser explotado en entornos donde los usuarios tienen permisos de contribuyente o superiores, lo que amplía la superficie de ataque.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la sesión de los usuarios y permitir la ejecución de acciones no autorizadas. Esto podría resultar en la pérdida de datos, robo de información sensible o daño a la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad insertando código JavaScript malicioso a través del shortcode 'woosq_btn' en páginas visibles para otros usuarios autenticados, lo que desencadena la ejecución del script en sus navegadores.

Mitigación recomendada

Actualizar el plugin WPC Smart Quick View a la versión 4.2.2 o superior. Además, se recomienda revisar los permisos de usuario y aplicar medidas de sanitización de entradas en otros componentes del sitio.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en los navegadores de los usuarios, como redirecciones no autorizadas o la ejecución de scripts inesperados. También se debe monitorizar el uso del shortcode 'woosq_btn' en el contenido.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.2.2 del plugin WPC Smart Quick View para WooCommerce.