Advanced Custom Fields <= 6.2.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Custom Field

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Advanced Custom Fields Pro, que afecta a las versiones hasta la 6.2.4. Esta falla permite a usuarios con rol de contribuyente o superior ejecutar scripts maliciosos a través de campos personalizados.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la entrada de datos en los campos personalizados, permitiendo que un atacante autenticado inyecte código JavaScript que se almacena y se ejecuta posteriormente en el navegador de otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código arbitrario en el contexto del navegador de otros usuarios, lo que podría resultar en el robo de información sensible o la manipulación de la sesión del usuario afectado.

Vector de explotación

La explotación de esta vulnerabilidad requiere que el atacante tenga al menos un rol de contribuyente en el sitio. A través de la inyección de scripts en campos personalizados, el atacante puede provocar que otros usuarios ejecuten código malicioso al visualizar el contenido afectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, es crucial actualizar el plugin Advanced Custom Fields Pro a la versión 6.2.5 o superior. Además, se recomienda revisar y sanitizar adecuadamente todas las entradas de usuario en los campos personalizados.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts inusuales en el contenido de los campos personalizados, así como comportamientos anómalos en los navegadores de los usuarios que interactúan con el contenido afectado.

Alcance afectado

Las versiones del plugin Advanced Custom Fields Pro hasta la 6.2.4 son las que presentan esta vulnerabilidad. Las instalaciones que no han actualizado a la versión 6.2.5 o superior están en riesgo.