WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters <= 4.8.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'put_wpgm' Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS en el plugin WP Google Map, que afecta a las versiones hasta la 4.8.7. Esta falla permite la ejecución de scripts maliciosos a través del shortcode 'put_wpgm', comprometiendo la seguridad del sitio y la integridad de los datos del usuario.

Contexto técnico

La vulnerabilidad se encuentra en el shortcode 'put_wpgm' del plugin WP Google Map, utilizado para integrar mapas en sitios web. La exposición ocurre cuando un usuario autenticado con rol de colaborador o superior envía datos no validados, permitiendo la inyección de scripts en el contenido.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en la ejecución de código malicioso en el navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación de la experiencia del usuario. Esto afecta la confianza del cliente y puede tener repercusiones legales.

Vector de explotación

La explotación se realiza a través de la creación de contenido que incluye el shortcode vulnerable, permitiendo que un atacante inyecte scripts en el sitio web que se ejecutarán en el navegador de otros usuarios.

Mitigación recomendada

Actualizar el plugin WP Google Map a la versión 4.8.8 o superior para corregir la vulnerabilidad. Revisar y limpiar cualquier contenido existente que utilice el shortcode 'put_wpgm' para eliminar posibles inyecciones. Implementar medidas de seguridad adicionales como un firewall de aplicaciones web (WAF) para mitigar riesgos futuros.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en el uso del shortcode 'put_wpgm' y cualquier actividad sospechosa por parte de usuarios autenticados.

Alcance afectado

Las versiones del plugin WP Google Map hasta la 4.8.7 son vulnerables. No se han confirmado casos en versiones posteriores a la 4.8.8.