MK Google Directions <= 3.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin MK Google Directions, que afecta a versiones anteriores a la 3.1.1. Este fallo permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio web.

Contexto técnico

El fallo se presenta en el plugin MK Google Directions, específicamente en su capacidad para manejar entradas de usuario. La superficie de ataque se amplía a usuarios autenticados con permisos de contribuidor o superiores, quienes pueden introducir contenido malicioso que se ejecuta en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de scripts no autorizados, lo que podría llevar al robo de información sensible o a la manipulación de la sesión del usuario. Esto afecta la integridad y la reputación del negocio, además de poner en riesgo la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo a través de la inyección de scripts en campos de entrada del plugin, que luego se muestran sin la debida sanitización en el frontend del sitio web.

Mitigación recomendada

Actualizar el plugin MK Google Directions a la versión 3.1.1 o superior. Revisar y sanitizar todas las entradas de usuario en el plugin para prevenir inyecciones futuras. Implementar una política de seguridad de contenido (CSP) para mitigar el impacto de posibles ataques XSS.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales de entrada en los formularios del plugin, así como cualquier ejecución de scripts no autorizados en el frontend.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.1.1 del plugin MK Google Directions. No se han reportado casos de explotación en otras versiones o componentes relacionados.