Advanced Custom Fields: Font Awesome Field <= 5.0.2 - Authenticated (Contributor+) Stored Cross-Site Scripting en Advanced Custom Fields Font Awesome (Cross-Site Scripting (XSS)) - version 6.0.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Advanced Custom Fields: Font Awesome, que afecta a versiones hasta la 5.0.2. Este fallo permite la ejecución de scripts maliciosos, comprometiendo la seguridad de los sitios afectados.

Contexto técnico

La vulnerabilidad se presenta como un Cross-Site Scripting almacenado, que puede ser explotado por usuarios autenticados con rol de colaborador o superior. La superficie de ataque incluye formularios de entrada donde se pueden inyectar scripts maliciosos.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la manipulación de datos y la ejecución de scripts en el navegador de otros usuarios, lo que podría llevar al robo de información sensible o a la toma de control del sitio. Esto afecta la confianza del usuario y puede tener repercusiones legales.

Vector de explotación

La explotación se realiza mediante la inyección de código JavaScript en campos de entrada, que luego se almacena y se ejecuta en el contexto de otros usuarios que acceden a la página afectada.

Mitigación recomendada

Actualizar el plugin Advanced Custom Fields: Font Awesome a la versión 6.0.0 o superior. Revisar y limpiar entradas de datos existentes que puedan contener scripts maliciosos. Implementar medidas de seguridad adicionales, como el uso de un firewall de aplicaciones web.

Señales de detección

Revisar los registros de actividad para detectar inserciones inusuales en campos de entrada, así como cambios en las configuraciones del plugin que no sean reconocidos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.0.0. No se han confirmado casos en versiones posteriores a esta.