AM LottiePlayer <= 3.6.0 - Authenticated (Author+) Stored Cross-Site Scripting via SVG

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin AM LottiePlayer, afectando a versiones anteriores a la 3.6.0. Este fallo permite a usuarios autenticados inyectar scripts maliciosos, lo que podría comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se presenta en la funcionalidad del plugin que permite la carga de archivos SVG. Al no validar adecuadamente estos archivos, un atacante autenticado puede inyectar código JavaScript malicioso, explotando así la superficie de ataque.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en la ejecución de scripts no autorizados, lo que podría llevar al robo de datos sensibles o a la manipulación de la interfaz de usuario. Esto podría afectar la confianza de los usuarios y la integridad del sitio.

Vector de explotación

Generalmente, un atacante autenticado podría cargar un archivo SVG malicioso que contenga código JavaScript, lo que desencadenaría el XSS al ser procesado por el navegador de otros usuarios.

Mitigación recomendada

Actualizar el plugin AM LottiePlayer a la versión 3.6.0 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios para limitar el acceso a funciones de carga de archivos. Implementar medidas de seguridad adicionales, como la validación de archivos SVG antes de su carga.

Señales de detección

Monitorear los logs de acceso para detectar actividades inusuales relacionadas con la carga de archivos SVG y revisar configuraciones de seguridad del plugin.

Alcance afectado

Las versiones del plugin AM LottiePlayer anteriores a la 3.6.0 son vulnerables. No se han confirmado otros escenarios de explotación en versiones posteriores.