Media Library Assistant <= 3.34 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Media Library Assistant hasta la versión 3.34. Este fallo, de severidad media, puede comprometer la seguridad de los usuarios autenticados, afectando la integridad de la información en el sitio.

Contexto técnico

El fallo se presenta en el componente Media Library Assistant, donde un usuario con rol de 'Contribuyente' o superior puede inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios. Esto se debe a una falta de validación adecuada de las entradas en ciertas funciones del plugin.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría llevar al robo de sesiones o a la manipulación de datos. Esto representa un riesgo significativo para la privacidad de los usuarios y la reputación del sitio.

Vector de explotación

La explotación se realiza a través de la inyección de código JavaScript en campos de entrada que no son debidamente validados, permitiendo que el script se ejecute cuando otros usuarios acceden a la biblioteca de medios.

Mitigación recomendada

Actualizar el plugin Media Library Assistant a la versión 3.35 o superior. Revisar y limpiar cualquier entrada potencialmente maliciosa en la biblioteca de medios. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP) para mitigar el impacto de futuros ataques XSS.

Señales de detección

Monitorear los logs de acceso en busca de patrones inusuales, como la ejecución de scripts en páginas de la biblioteca de medios. También es recomendable revisar configuraciones de seguridad que puedan haber sido alteradas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.35 del plugin Media Library Assistant. No se han reportado casos de explotación en versiones posteriores.