Easy Social Photos Gallery <= 3.1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'wrapper_class' Shortcode Attribute en MY Instagram Feed (Cross-Site Scripting (XSS))

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Easy Social Photos Gallery, que afecta a versiones anteriores a la 3.1.2. Esta brecha permite a atacantes autenticados inyectar código malicioso, comprometiendo la seguridad del sitio web.

Contexto técnico

Esta vulnerabilidad se explota a través del atributo 'wrapper_class' en el shortcode del plugin, permitiendo a usuarios con rol de contribuidor o superior ejecutar scripts no autorizados en el contexto del navegador de otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la manipulación de sesiones de usuario, robo de información sensible y potencial daño a la reputación del negocio. La severidad se clasifica como media, con un CVSS de 6.4, lo que indica un riesgo significativo si no se aborda.

Vector de explotación

La explotación se realiza mediante la inyección de código JavaScript a través del shortcode, lo que puede ser desencadenado por un usuario autenticado con permisos adecuados.

Mitigación recomendada

Actualizar el plugin Easy Social Photos Gallery a la versión 3.1.2 o superior. Revisar y limpiar cualquier entrada de datos que pueda haber sido comprometida. Implementar medidas de seguridad adicionales, como la validación de entradas y el uso de Content Security Policy (CSP).

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales de uso del shortcode y monitorizar cambios en las configuraciones del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.1.2. No se han identificado otros componentes o escenarios no confirmados relacionados con esta vulnerabilidad.