Advanced Custom Fields <= 6.3.5 - Authenticated Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Advanced Custom Fields Pro, que afecta a las versiones hasta la 6.3.5. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos en el sitio.

Contexto técnico

La vulnerabilidad se presenta como un XSS almacenado, lo que significa que el código malicioso se almacena en el servidor y se ejecuta cuando un usuario accede a la página afectada. Esto ocurre en el contexto de usuarios autenticados, lo que aumenta el riesgo de explotación.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el navegador de otros usuarios, lo que podría resultar en el robo de información sensible o la manipulación de la interfaz de usuario. Esto puede comprometer la confianza de los usuarios y la integridad del sitio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente ocurre cuando un atacante autenticado envía datos maliciosos a través de formularios o campos personalizados, que luego son almacenados y servidos a otros usuarios sin la debida sanitización.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Advanced Custom Fields Pro a la versión 6.3.6 o superior. Además, se debe revisar la configuración de permisos de usuario y aplicar medidas de sanitización y validación de entrada en cualquier formulario que acepte datos del usuario.

Señales de detección

Señales que pueden indicar un posible riesgo incluyen la aparición de comportamientos inusuales en el sitio, como scripts no autorizados en las páginas o reportes de actividad sospechosa por parte de los usuarios.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Advanced Custom Fields Pro hasta la 6.3.5. Se recomienda verificar la versión instalada en todas las instalaciones que utilicen este plugin.