TablePress – Tables in WordPress made easy <= 3.2.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin TablePress, que afecta a las versiones hasta 3.2.4. Esta vulnerabilidad permite a un usuario autenticado con rol de colaborador o superior inyectar código malicioso a través de atributos de shortcode.

Contexto técnico

El fallo se produce debido a la falta de validación adecuada de los atributos de shortcode en el plugin TablePress. Esto permite que un atacante autenticado inserte scripts maliciosos que se ejecutan en el navegador de otros usuarios que visualizan las tablas generadas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios del sitio web, permitiendo el robo de información sensible o la manipulación del contenido visualizado. Esto puede afectar la reputación de la empresa y la confianza de los usuarios.

Vector de explotación

La vulnerabilidad se explota mediante la creación de un shortcode que incluye código JavaScript malicioso. Un usuario autenticado con permisos adecuados puede insertar este shortcode en una tabla, lo que resulta en la ejecución del script en el navegador de otros visitantes.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin TablePress a la versión 3.2.5 o superior. Además, se debe revisar y validar adecuadamente todos los atributos de shortcode utilizados en el plugin.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos anómalos en el sitio web, como redirecciones inesperadas o la inyección de contenido no autorizado en las tablas. También se debe monitorizar el acceso de usuarios con permisos de contribuidor o superiores.

Alcance afectado

Las versiones del plugin TablePress hasta la 3.2.4 son vulnerables. Es crucial que todos los sitios que utilicen este plugin realicen la actualización inmediata para evitar riesgos.