Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el SDK de Freemius, afectando a versiones anteriores a la 2.5.9. Esta falla permite a un atacante inyectar scripts maliciosos a través de solicitudes reflejadas, lo que puede comprometer la seguridad de los usuarios.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de las solicitudes en el SDK de Freemius, permitiendo que los parámetros de entrada no sean debidamente sanitizados. Esto abre una superficie de ataque donde un atacante puede inyectar código JavaScript malicioso que se ejecutará en el navegador de la víctima.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto de la sesión del usuario, lo que podría resultar en el robo de información sensible o la manipulación de la interfaz de usuario. Esto pone en riesgo tanto la integridad de la aplicación como la confianza del usuario.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando enlaces manipulados a los usuarios, que al hacer clic en ellos, ejecutan el código malicioso en sus navegadores. Esto puede llevar a la captura de cookies de sesión o a redirecciones no deseadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el SDK de Freemius a la versión 1.4.2 o superior. Además, se debe implementar una validación y sanitización rigurosa de todas las entradas de usuario en la aplicación.

Señales de detección

Señales de posible explotación incluyen la aparición de solicitudes inusuales en los registros del servidor que contengan parámetros sospechosos o la detección de scripts no autorizados en las páginas web del sitio.

Alcance afectado

Las versiones del SDK de Freemius hasta la 2.5.9 son las afectadas. Cualquier instalación que utilice estas versiones está en riesgo.