Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Salon Booking System, específicamente en la versión del Freemius SDK hasta la 2.5.9. Esta vulnerabilidad permite la ejecución de scripts maliciosos a través de solicitudes reflejadas.

Contexto técnico

El fallo se origina en el manejo inadecuado de entradas no sanitizadas en el Freemius SDK, lo que permite a un atacante inyectar código JavaScript malicioso en las respuestas del servidor. Esto puede afectar a los usuarios que interactúan con el sistema de reservas, exponiendo su información y comprometiendo la seguridad de la aplicación.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite a los atacantes robar información sensible de los usuarios o realizar acciones en su nombre. Esto puede afectar la confianza de los clientes y la reputación del negocio, además de posibles implicaciones legales por la exposición de datos.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas que contienen código malicioso, el cual es ejecutado en el navegador de la víctima cuando interactúa con la aplicación afectada.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Salon Booking System a la versión 8.4.9 o superior. Además, es aconsejable revisar y sanitizar todas las entradas y salidas de datos en la aplicación para prevenir futuras inyecciones de código.

Señales de detección

Las señales que pueden indicar un intento de explotación incluyen la aparición de comportamientos inusuales en las interacciones de los usuarios, así como registros de solicitudes que contengan parámetros sospechosos o scripts maliciosos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 8.4.9 del plugin Salon Booking System que utilicen el Freemius SDK hasta la versión 2.5.9.