CVE-2024-6288: XSS reflejado en Conversios WooCommerce Tracking
Un problema de cross-site scripting reflejado en el plugin de tracking de WooCommerce Conversios.
CVE-2024-6288 es una vulnerabilidad de cross-site scripting reflejado en el plugin Conversios para WordPress, usado para integraciones de tracking y analítica en WooCommerce.
El aviso público describe el input vulnerable como el parámetro tiktok_user_id. Las versiones hasta 7.1.0 inclusive no saneaban suficientemente el input ni escapaban correctamente la salida para ese valor, lo que permitía a un atacante no autenticado inyectar script que se ejecutaría si lograba convencer a un usuario de abrir un enlace especialmente creado.
El bug
Este era un patrón clásico de XSS reflejado: un parámetro de la solicitud llegaba al HTML generado sin suficiente validación y escape.
El detalle que hacía que valiera la pena reportarlo era dónde aparecía. Los plugins de analítica y publicidad suelen estar cerca de flujos de negocio valiosos: tracking de conversiones, feeds de productos, pixeles de campañas y páginas de tienda. También tienden a tener mucha superficie de configuración porque se integran con varios servicios externos a la vez.
Por qué importaba
El puntaje CVSS fue 4.7, severidad media, con interacción de usuario requerida. Esa es la forma esperada para un XSS reflejado: el atacante necesita que una víctima abra una URL preparada.
Incluso con esa limitación, un XSS en contexto WordPress puede importar. Si el usuario equivocado abre el enlace mientras está autenticado, el script se ejecuta dentro del origen del sitio. Eso puede exponer datos de la página cercanos a la sesión, realizar acciones disponibles para la víctima o convertirse en un paso dentro de una cadena de ataque más amplia.
Fix
Conversios corrigió el problema en la versión 7.1.1. Los dueños de sitios deberían actualizar a 7.1.1 o una versión más nueva.