WP Google Street View (with 360° virtual tour) & Google maps + Local SEO <= 1.1.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'wpgsv_map' Shortcode

Resumen ejecutivo

La vulnerabilidad identificada en el plugin WP Google Street View permite la ejecución de scripts maliciosos a través de un ataque de Cross-Site Scripting (XSS) almacenado. Esta falla afecta a versiones hasta la 1.1.8 y se considera de severidad media.

Contexto técnico

El fallo se origina en el shortcode 'wpgsv_map', que no valida adecuadamente la entrada del usuario. Esto permite a un atacante autenticado (con rol de contribuyente o superior) inyectar código JavaScript que se almacena y se ejecuta en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios al permitir la ejecución de scripts no autorizados, lo que podría resultar en el robo de información sensible o la manipulación de sesiones. A nivel empresarial, esto puede dañar la reputación y la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad al enviar datos maliciosos a través del shortcode 'wpgsv_map', que luego se almacenan y se ejecutan en el contexto de otros usuarios que visualizan la página afectada.

Mitigación recomendada

Se recomienda actualizar el plugin WP Google Street View a la versión 1.1.9 o posterior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar y sanitizar todas las entradas de usuario para prevenir futuras inyecciones de código.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en la interfaz de usuario, redirecciones inesperadas o la presencia de scripts no autorizados en las páginas que utilizan el shortcode afectado.

Alcance afectado

Las versiones del plugin WP Google Street View hasta la 1.1.8 están afectadas. Los usuarios que utilizan versiones anteriores deben tomar medidas inmediatas para mitigar el riesgo.