Freemius <= 2.10.1 - Reflected DOM-Based Cross-Site Scripting via url Parameter en Easy Marijuana AGE Verify (Cross-Site Scripting (XSS)) - version 1.6

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS reflejado en el plugin Easy Marijuana Age Verify, que afecta a versiones hasta la 2.10.1. Esta falla puede comprometer la seguridad de los usuarios y la integridad del sitio web si no se mitiga adecuadamente.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja los parámetros de URL, permitiendo la inyección de scripts maliciosos. Esto expone a los usuarios a ataques de XSS que pueden ser ejecutados a través de enlaces manipulados.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en el robo de información sensible, suplantación de identidad y manipulación de sesiones de usuario, lo que puede dañar la reputación del negocio y generar pérdidas económicas.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad a través de enlaces que incluyen parámetros de URL manipulados, dirigiendo a los usuarios a páginas que ejecutan scripts maliciosos.

Mitigación recomendada

Actualizar el plugin Easy Marijuana Age Verify a la versión 1.6 o superior. Revisar y sanitizar todos los parámetros de entrada en las URLs relacionadas con el plugin. Implementar políticas de seguridad de contenido (CSP) para mitigar el riesgo de XSS.

Señales de detección

Monitorizar los registros de acceso en busca de patrones inusuales en las solicitudes que incluyan parámetros de URL sospechosos.

Alcance afectado

Las versiones del plugin Easy Marijuana Age Verify hasta la 2.10.1 están afectadas. No se han reportado casos en versiones posteriores a la 1.6.