Form Maker by 10Web <= 1.15.35 - Unauthenticated Stored Cross-Site Scripting via Hidden Field

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de Cross-Site Scripting (XSS) en el plugin Form Maker de 10Web, que afecta a las versiones hasta la 1.15.35. Esta vulnerabilidad permite la ejecución de scripts maliciosos sin necesidad de autenticación.

Contexto técnico

La vulnerabilidad se origina en un campo oculto del plugin, donde un atacante puede inyectar código JavaScript que se ejecutará en el navegador de otros usuarios. Esto representa un riesgo significativo ya que permite la ejecución de scripts no autorizados en el contexto del sitio web afectado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a un atacante robar información sensible, realizar phishing o redirigir a los usuarios a sitios maliciosos. Además, puede dañar la reputación del negocio y afectar la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que incluyan código JavaScript en el campo oculto, lo que resulta en la ejecución de ese código en el navegador de los visitantes del sitio web.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Form Maker a la versión 1.15.36 o superior. Además, es aconsejable revisar los campos ocultos en formularios y aplicar medidas de validación y saneamiento de entradas.

Señales de detección

Las señales de riesgo incluyen la presencia de scripts inusuales en el código fuente de las páginas generadas por el plugin y un aumento en las quejas de usuarios sobre comportamientos extraños en el sitio.

Alcance afectado

Las versiones del plugin Form Maker afectadas son todas las anteriores a la 1.15.36. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión.