Responsive Pricing Table <= 5.1.12 - Authenticated (Author+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Responsive Pricing Table hasta la versión 5.1.12. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos en el sitio afectado.

Contexto técnico

El fallo se presenta en el manejo de entradas del usuario, donde no se realiza la validación adecuada de los datos, permitiendo que se almacenen scripts dañinos. La superficie de ataque se centra en usuarios con privilegios de autor o superiores que pueden aprovechar esta vulnerabilidad.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad del sitio web, permitiendo a los atacantes ejecutar scripts en el navegador de otros usuarios, lo que podría resultar en el robo de información sensible o en la manipulación del contenido del sitio.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la inyección de código JavaScript malicioso a través de formularios o campos de entrada que no están correctamente sanitizados, lo que permite que el código se ejecute en el contexto de otros usuarios.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 5.1.13 o superior. Además, se sugiere implementar medidas de validación y sanitización de datos en todos los puntos de entrada del usuario.

Señales de detección

Se deben monitorear registros de actividad para detectar comportamientos sospechosos, como la ejecución de scripts no autorizados o la aparición de contenido extraño en el frontend del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Responsive Pricing Table hasta la 5.1.12. Las instalaciones que no han actualizado a la versión 5.1.13 están en riesgo.