CVE-2024-6288: XSS refletido no Conversios WooCommerce Tracking
Um problema de cross-site scripting refletido no plugin de tracking de WooCommerce Conversios.
CVE-2024-6288 é uma vulnerabilidade de cross-site scripting refletido no plugin Conversios para WordPress, usado em integrações de tracking e analytics para WooCommerce.
O aviso público descreve o input vulnerável como o parâmetro tiktok_user_id. As versões até 7.1.0 inclusive não sanitizavam suficientemente o input nem escapavam corretamente a saída para esse valor, permitindo que um atacante não autenticado injetasse script que seria executado se ele convencesse um usuário a abrir um link preparado.
O bug
Esse era um padrão clássico de XSS refletido: um parâmetro da requisição chegava ao HTML gerado sem validação e escape suficientes.
O detalhe que tornou o caso digno de reporte foi onde ele aparecia. Plugins de analytics e publicidade costumam ficar próximos de fluxos de negócio valiosos: tracking de conversões, feeds de produtos, pixels de campanha e páginas de loja. Eles também tendem a ter muita superfície de configuração porque integram vários serviços externos ao mesmo tempo.
Por que importava
A pontuação CVSS foi 4.7, severidade média, com interação do usuário exigida. Essa é a forma esperada para um XSS refletido: o atacante precisa que uma vítima abra uma URL preparada.
Mesmo com essa limitação, XSS em um contexto WordPress ainda pode importar. Se o usuário errado abre o link enquanto está autenticado, o script roda dentro da origem do site. Isso pode expor dados da página próximos à sessão, realizar ações disponíveis para a vítima ou virar um passo dentro de uma cadeia de ataque maior.
Correção
O Conversios corrigiu o problema na versão 7.1.1. Donos de sites devem atualizar para 7.1.1 ou uma versão mais nova.