Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la SDK de Freemius, afectando a la versión 2.5.9 o anteriores. Esta vulnerabilidad permite que un atacante ejecute scripts maliciosos en el contexto de la víctima.

Contexto técnico

El fallo se origina en la forma en que la SDK de Freemius maneja las solicitudes a través de la función fs_request_get. La falta de validación adecuada de las entradas permite que se inyecten scripts maliciosos, lo que puede comprometer la seguridad del sitio web.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en el robo de información sensible, como cookies de sesión, y en la manipulación de la experiencia del usuario, lo que podría dañar la reputación del negocio y comprometer la confianza de los clientes.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante la creación de enlaces maliciosos que, al ser accedidos por un usuario, ejecutan scripts no autorizados en su navegador.

Mitigación recomendada

Actualizar el plugin All-in-One Video Gallery a la versión 3.4.3 o superior. Además, se recomienda realizar una revisión de las configuraciones de seguridad y aplicar medidas de hardening en la instalación de WordPress.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en los usuarios, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador.

Alcance afectado

Las versiones de la SDK de Freemius hasta la 2.5.9 son vulnerables. Se recomienda verificar las instalaciones que utilicen esta SDK.