Gutenberg Essential Blocks <= 6.0.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Block Attributes (Cross-Site Scripting (XSS)) - version 6.1.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Gutenberg Essential Blocks, que afecta a las versiones anteriores a 6.1.0. Este fallo permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se presenta a través de los atributos de bloque del plugin, permitiendo la inyección de código JavaScript no autorizado. La exposición se da cuando un usuario autenticado, con permisos de contribuyente o superiores, interactúa con los bloques del plugin.

Impacto potencial

El impacto en la seguridad puede ser significativo, ya que permite la ejecución de scripts maliciosos en el contexto del navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación del contenido del sitio.

Vector de explotación

La explotación se puede realizar mediante la creación de bloques que incluyan atributos manipulados, lo que activa la ejecución de scripts al ser visualizados por otros usuarios en el sitio.

Mitigación recomendada

Actualizar el plugin Gutenberg Essential Blocks a la versión 6.1.0 o superior. Revisar y limpiar cualquier contenido creado que pueda contener scripts maliciosos. Implementar políticas de seguridad de contenido (CSP) para mitigar riesgos de XSS.

Señales de detección

Revisar los logs de acceso para detectar solicitudes inusuales o modificaciones en los bloques del plugin por parte de usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.1.0. No se han confirmado otros escenarios fuera de este alcance.