En este artículo se aborda una vulnerabilidad de Cross-Site Scripting Almacenada en el plugin Booster for WooCommerce para WordPress, cuya versión <= 7.1.6 es susceptible. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas del sitio, los cuales se ejecutarán cuando un usuario acceda a la página comprometida.
El plugin Booster for WooCommerce para WordPress presenta una vulnerabilidad de Cross-Site Scripting Almacenada en su shortcode ‘wcj_product_barcode’. Esta vulnerabilidad se debe a una sanitización insuficiente de la entrada y a un escape deficiente de la salida de los atributos proporcionados por los usuarios, como ‘color’. Esto permite que atacantes autenticados con permisos de contribuidor o superiores inyecten scripts web arbitrarios, los cuales se ejecutarán cuando un usuario acceda a una página comprometida.
Para subsanar este problema, se recomienda actualizar el plugin Booster for WooCommerce a la versión más reciente disponible. Además, es importante mantener actualizado el sistema WordPress y aplicar las últimas actualizaciones de seguridad para evitar posibles vulnerabilidades.
Asimismo, se aconseja limitar los permisos asignados a los usuarios autenticados y únicamente otorgar los necesarios para sus funciones específicas. Esto ayudará a reducir la superficie de ataque y mitigar los riesgos asociados a esta vulnerabilidad.
La vulnerabilidad de Cross-Site Scripting Almacenada en el plugin Booster for WooCommerce <= 7.1.6 puede permitir a atacantes autenticados inyectar scripts web en páginas comprometidas. Actualizar el plugin a la última versión disponible, mantener el sistema WordPress actualizado y asignar permisos adecuados a los usuarios autenticados son medidas recomendadas para subsanar este problema y fortalecer la seguridad del sitio.