XStore Core < 5.7 - Authenticated (Contributor+) Stored Cross-Site Scripting en ET Core Plugin (Cross-Site Scripting (XSS))

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin XStore Core versiones anteriores a la 5.7. Este fallo permite a usuarios autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

El vector de ataque se encuentra en el plugin XStore Core, donde usuarios autenticados pueden explotar la vulnerabilidad mediante la inyección de scripts en campos de entrada que no validan correctamente los datos. La falta de sanitización adecuada permite que el código malicioso se almacene y ejecute en el navegador de otros usuarios.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible y la manipulación de la experiencia del usuario en el sitio. Esto puede llevar a pérdidas de confianza por parte de los usuarios y afectar negativamente la reputación del negocio.

Vector de explotación

La explotación se realiza a través de la inyección de scripts en formularios o campos de entrada accesibles para usuarios autenticados, que luego son ejecutados en el contexto de otros usuarios al visitar la página afectada.

Mitigación recomendada

Actualizar el plugin XStore Core a la versión 5.7 o superior. Revisar y limpiar cualquier entrada de datos que pueda haber sido comprometida. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar el riesgo de XSS.

Señales de detección

Revisar los logs de actividad para detectar entradas inusuales o scripts no autorizados en campos de entrada. Monitorizar cambios en la configuración del plugin que puedan indicar explotación.

Alcance afectado

Las versiones del plugin XStore Core anteriores a la 5.7 están afectadas. No se han confirmado casos en versiones posteriores.