Mapster WP Maps <= 1.20.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Mapster WP Maps, que afecta a versiones hasta la 1.20.0. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos en el sitio web.

Contexto técnico

La vulnerabilidad se manifiesta como un XSS almacenado, lo que significa que el código malicioso se guarda en la base de datos y se ejecuta cuando otros usuarios acceden a la página afectada. La superficie de ataque está dirigida a la funcionalidad del plugin que permite la entrada de datos por parte de usuarios autenticados.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante inyectar scripts que podrían robar información sensible, redirigir a los usuarios a sitios maliciosos o realizar acciones no autorizadas en nombre de otros usuarios. Esto podría comprometer la integridad y la reputación del sitio web.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando datos maliciosos a través de formularios del plugin, que luego son almacenados y ejecutados en el navegador de otros usuarios que visualizan la información afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.21.0 o superior. Además, se debe revisar y limpiar la base de datos para eliminar cualquier entrada maliciosa que pueda haberse almacenado previamente.

Señales de detección

Las señales de riesgo incluyen la aparición de scripts no autorizados en el contenido generado por el plugin, así como reportes de comportamientos extraños en el sitio web por parte de los usuarios.

Alcance afectado

Las versiones del plugin Mapster WP Maps hasta la 1.20.0 están afectadas. Se debe verificar la instalación en todos los sitios que utilicen este plugin.