SEO Friendly Images <= 3.0.5 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin SEO Friendly Images, afectando a versiones hasta la 3.0.5. Este fallo permite a usuarios autenticados de nivel Contributor o superior inyectar scripts maliciosos, comprometiendo la seguridad del sitio y la integridad de los datos operativos.

Contexto técnico

El fallo se presenta en el plugin SEO Friendly Images, donde usuarios autenticados pueden aprovechar la falta de validación adecuada en la entrada de datos. Esto permite la inyección de código JavaScript en las páginas de otros usuarios, facilitando ataques XSS.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de scripts no autorizados, lo que podría llevar al robo de información sensible de usuarios, alteración de contenido y pérdida de confianza en la plataforma. La severidad media de este fallo (CVSS 6.4) indica un riesgo considerable que debe ser abordado.

Vector de explotación

La explotación se realiza mediante la inyección de código malicioso a través de campos de entrada en el plugin, accesibles para usuarios autenticados con permisos adecuados.

Mitigación recomendada

Actualizar el plugin SEO Friendly Images a la versión 3.0.5 o superior. Revisar y limpiar cualquier entrada de datos que pudiera haber sido comprometida. Implementar medidas de seguridad adicionales, como la validación de entradas y el uso de Content Security Policy (CSP).

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales de actividad de usuarios autenticados y cualquier modificación no autorizada en el contenido del sitio.

Alcance afectado

Las versiones del plugin SEO Friendly Images hasta la 3.0.5 están afectadas. No se han confirmado otros escenarios o plugins relacionados.