En este artículo se aborda una vulnerabilidad de tipo Cross-Site Scripting en el plugin PDF Generator for Fluent Forms, utilizado para crear formularios de contacto en WordPress.
El plugin PDF Generator For Fluent Forms – The Contact Form Plugin, en sus versiones hasta la 1.1.7, presenta una vulnerabilidad de tipo Stored Cross-Site Scripting. Esta vulnerabilidad se debe a una sanitización insuficiente de la entrada y a una escapada inadecuada de la salida en los parámetros de contenido del encabezado, cuerpo y pie de página del PDF generado. Como resultado, un atacante puede inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cada vez que un usuario acceda a una de las páginas afectadas. El nivel de explotación de esta vulnerabilidad dependerá de los privilegios concedidos por un administrador a los diferentes usuarios del sistema, que puede ser tan bajo como el rol de contribuyente, aunque por defecto es de administrador.
Para subsanar esta vulnerabilidad, se recomienda actualizar a la última versión disponible del plugin PDF Generator For Fluent Forms, la cual contiene las correcciones necesarias para mitigar este tipo de ataques. Además, es importante mantener actualizado todo el software utilizado en el sitio web y seguir buenas prácticas de seguridad, como limitar los privilegios de los usuarios y realizar una adecuada validación y sanitización de las entradas y salidas de datos en todas las partes del sitio.