tagDiv Composer <= 5.4.3 - Authenticated (Contributor+) Stored Cross-Site Scripting en TD Composer (Cross-Site Scripting (XSS))

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin tagDiv Composer hasta la versión 5.4.3. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se presenta en el componente tagDiv Composer, donde una incorrecta validación de entrada permite a un atacante inyectar código JavaScript. La superficie de ataque se limita a usuarios autenticados con permisos de colaborador o mayores, lo que aumenta el riesgo en entornos donde múltiples usuarios tienen acceso.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el navegador de otros usuarios, potencialmente robando información sensible o alterando la funcionalidad del sitio. Esto puede afectar la confianza del usuario y la integridad del negocio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza a través de la inyección de código malicioso en campos de entrada que no son adecuadamente filtrados, lo que puede ser ejecutado al visualizar contenidos afectados.

Mitigación recomendada

Actualizar el plugin tagDiv Composer a la versión 5.4.3 o superior. Revisar y restringir los permisos de los usuarios, limitando el acceso a roles necesarios. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP), para mitigar el riesgo de XSS.

Señales de detección

Revisar los logs de actividad para detectar entradas inusuales o scripts no autorizados. Comprobar configuraciones de seguridad que puedan haber sido alteradas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.4.3 del plugin tagDiv Composer. No se reportan casos confirmados en versiones posteriores.