El plugin de WordPress ‘ReDi Restaurant Booking’, con más de 1.000 instalaciones activas, permite a los negocios de restauración gestionar las reservas de sus clientes. A través de éste, los clientes pueden consultar los espacios de tiempo disponibles, y en caso de estar libres, realizar una reserva.
El investigador en ciberseguridad, Bastijn Ouwendijk, alertó el día 15 de abril a los creadores del plugin, de una vulnerabilidad de tipo Cross-Site Scripting (XSS) la cual afectaba a versiones anteriores a la 21.0307. Tras la alerta, los creadores mitigaron la vulnerabilidad reportada, haciendo pública una versión no vulnerable, en concreto la versión 21.0426.
Aproximadamente 30 días tras la mitigación de la vulnerabilidad, durante el pasado lunes 23 de mayo, el investigador reveló los detalles de la vulnerabilidad, los cuales pueden consultarse a través de su blog personal.
La vulnerabilidad
Durante la reserva, la aplicación solicita al usuario la fecha y hora de la reserva, además de otros detalles cómo son el nombre, teléfono, email y comentarios adicionales. Ninguno de estos datos son saneados antes de ser almacenados en la base de datos de la aplicación, por lo que, tal y cómo comenta el investigador, permitiría a un atacante inyectar código JavaScript malicioso con objeto de robar información sensible de los clientes a través de sus reservas, e incluso, para filtrar la clave API privada del plugin.
La vulnerabilidad, consistente en un XSS persistente o almacenado, que no requiere autenticación para ser explotada, fue asignado el código CVE-2021-24299, y catalogada de riesgo medio con una puntuación CVSSv3 de 6.3.
Fuente: bastijnouwendijk.com
Desde Hispasec, y debido a la simplicidad de la explotación de la vulnerabilidad, y el impacto que conlleva, recomendamos actualizar el plugin a la mayor brevedad posible. Se pueden consultar detalles acerca del historial de versiones del plugin a través del propio sitio de WordPress.
Más información:
Plugin ‘ReDi Restaurant Reservation’:
https://es.wordpress.org/plugins/redi-restaurant-reservation/
Bastin Ouwendijk – Technical Write-up on CVE-2021-24299:
https://bastijnouwendijk.com/cve-2021-24299/
ThreatPost – A WordPress reservation plugin has a vulnerability that allows unauthenticated hackers to access reservation data stored by site owners:
https://threatpost.com/reservation-system-easy-to-exploit-xss-bug/166414/?web_view=true
La entrada XSS en el plugin de WordPress ‘ReDi Restaurant Booking’ se publicó primero en Una al Día.