Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Caxton, que afecta a versiones del Freemius SDK hasta la 2.5.9. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en el navegador de los usuarios afectados.

Contexto técnico

La vulnerabilidad se origina en la forma en que el Freemius SDK gestiona las solicitudes a través de la función `fs_request_get`. Un atacante puede manipular los parámetros de entrada, lo que resulta en la inyección de código JavaScript malicioso que se ejecuta en el contexto del usuario, facilitando así el ataque XSS.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar información sensible, como cookies de sesión o credenciales de usuario. Esto podría comprometer la seguridad de la instalación de WordPress y afectar la confianza de los usuarios en el sitio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza típicamente mediante la creación de enlaces maliciosos que, al ser visitados por un usuario, ejecutan el código JavaScript inyectado en su navegador.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Caxton a la versión 1.30.1 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la validación de entradas y la aplicación de políticas de seguridad de contenido (CSP).

Señales de detección

Señales de riesgo incluyen actividad inusual en los registros de acceso, como solicitudes que contienen parámetros sospechosos o la presencia de scripts no autorizados en el código fuente de las páginas.

Alcance afectado

Las versiones del Freemius SDK hasta la 2.5.9 son las afectadas. Se recomienda a los administradores de sitios que verifiquen si utilizan esta versión o versiones anteriores del plugin Caxton.