WP DSGVO Tools (GDPR) <= 3.1.36 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'lw_content_block' Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP DSGVO Tools (GDPR) en versiones hasta la 3.1.36. Esta vulnerabilidad permite a usuarios autenticados con rol de Contributor o superior inyectar scripts maliciosos.

Contexto técnico

El fallo se origina en el shortcode 'lw_content_block', que no valida adecuadamente la entrada del usuario. Esto permite la ejecución de scripts no deseados en el contexto del navegador de otros usuarios, afectando la integridad del sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los datos de los usuarios y la confianza en el sitio. Un atacante podría robar información sensible o realizar acciones no autorizadas en nombre de otros usuarios.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la creación de contenido que incluya el shortcode vulnerable, permitiendo así la inyección de código malicioso que se ejecuta en el navegador de otros usuarios que visitan la página.

Mitigación recomendada

Actualizar el plugin a la versión 3.1.37 o superior es esencial para mitigar esta vulnerabilidad. Además, se recomienda revisar y sanitizar cualquier entrada de usuario que utilice el shortcode afectado.

Señales de detección

Se pueden detectar intentos de explotación a través de registros de actividad que muestren la creación de contenido sospechoso o inusual que incluya el shortcode 'lw_content_block'.

Alcance afectado

Las versiones del plugin WP DSGVO Tools (GDPR) hasta la 3.1.36 están afectadas. Las instalaciones que no han actualizado a la versión 3.1.37 corren riesgo.