Ivory Search <= 5.5.15 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'menu_title' and 'menu_magnifier_color' Settings en ADD Search TO Menu (Cross-Site Scripting (XSS)) - version 5.5.16

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Ivory Search en versiones hasta 5.5.15. Esta falla permite a administradores autenticados inyectar scripts maliciosos, afectando la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se encuentra en los ajustes 'menu_title' y 'menu_magnifier_color' del plugin Ivory Search. Un atacante con privilegios de administrador puede manipular estos parámetros para ejecutar código JavaScript en el contexto del navegador de otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede comprometer la integridad de los datos y la confianza de los usuarios, permitiendo ataques de phishing o la manipulación de contenido. Aunque la severidad es media (CVSS 4.4), su explotación puede llevar a consecuencias significativas en la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la modificación de los parámetros de configuración del plugin por un administrador, lo que permite la inyección de scripts en el frontend del sitio.

Mitigación recomendada

Actualizar el plugin Ivory Search a la versión 5.5.16 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios administradores para limitar el acceso innecesario. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP), para mitigar el riesgo de XSS.

Señales de detección

Monitorear los logs de acceso y errores para detectar actividades inusuales relacionadas con cambios en los ajustes del plugin. Prestar atención a cualquier script inusual ejecutándose en el frontend.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.5.16 del plugin Ivory Search. No se han reportado casos de explotación en versiones posteriores.