AutomatorWP – Automator plugin for no-code automations, webhooks & custom integrations in WordPress <= 5.7.2 - Unauthenticated Stored Cross-Site Scripting (Cross-Site Scripting (XSS)) - version 5.7.3

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo XSS almacenado en el plugin AutomatorWP, que afecta a versiones anteriores a la 5.7.3. Este fallo permite a atacantes no autenticados inyectar scripts maliciosos, comprometiendo la seguridad del sitio y la integridad de los datos.

Contexto técnico

El fallo se presenta en el plugin AutomatorWP, utilizado para automatizaciones sin código en WordPress. La vulnerabilidad permite la inyección de scripts a través de entradas no validadas, exponiendo la superficie de ataque a usuarios no autenticados.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts maliciosos en el navegador de los usuarios, lo que podría resultar en el robo de información sensible y afectar la reputación del negocio. La severidad de este fallo se califica como alta, con un CVSS de 7.2.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que inyecten scripts a través de formularios o entradas de datos no protegidas.

Mitigación recomendada

Actualizar el plugin AutomatorWP a la versión 5.7.3 o superior. Revisar las configuraciones de seguridad de entrada para evitar inyecciones de scripts. Implementar medidas de seguridad adicionales como Content Security Policy (CSP).

Señales de detección

Revisar los logs de acceso y error en busca de patrones inusuales, como intentos de inyección de scripts o accesos no autorizados a formularios del plugin.

Alcance afectado

Las versiones de AutomatorWP anteriores a la 5.7.3 están afectadas. No se han confirmado casos de explotación en versiones posteriores.