WP Visitor Statistics (Real Time Traffic) <= 8.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'height' Shortcode Attribute

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin WP Visitor Statistics, que afecta a versiones hasta la 8.4. Este fallo permite a usuarios autenticados con rol de colaborador y superiores inyectar scripts maliciosos, comprometiendo la seguridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el manejo del atributo 'height' del shortcode del plugin, permitiendo la inyección de código JavaScript. La exposición se da cuando un usuario con permisos de colaborador o superiores utiliza este shortcode en su contenido.

Impacto potencial

El impacto puede incluir la ejecución de scripts en el navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación del contenido del sitio. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la creación de contenido que incluya el shortcode del plugin con un atributo 'height' modificado para incluir código JavaScript malicioso.

Mitigación recomendada

Actualizar el plugin WP Visitor Statistics a la versión 8.5 o superior. Revisar y limpiar cualquier contenido que utilice el shortcode afectado. Implementar políticas de seguridad de contenido (CSP) para mitigar la ejecución de scripts no autorizados. Realizar auditorías de seguridad periódicas para detectar posibles inyecciones de código.

Señales de detección

Revisar los logs para detectar actividad inusual relacionada con el uso de shortcodes del plugin, así como cualquier cambio no autorizado en el contenido del sitio.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 8.5 del plugin WP Visitor Statistics. No se han confirmado casos en versiones posteriores.