Brizy Page Builder <= 2.4.1 - Authenticated Stored Cross-Site Scripting via Element URL

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Brizy Page Builder, afectando a versiones hasta la 2.4.1. Esta falla permite la inyección de scripts maliciosos a través de URLs de elementos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se manifiesta como un XSS almacenado autenticado, lo que significa que un usuario con acceso puede inyectar código JavaScript malicioso que se almacena y se ejecuta en el navegador de otros usuarios. Esto ocurre en la gestión de URLs de elementos dentro del editor del plugin Brizy.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de los usuarios afectados, lo que puede llevar al robo de información sensible o a la manipulación del contenido del sitio web.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante la creación de elementos con URLs maliciosas en el editor de Brizy, que luego son visualizadas por otros usuarios, ejecutando así el código inyectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Brizy Page Builder a la versión 2.4.2 o superior. Además, se debe realizar un análisis de seguridad del sitio para detectar posibles inyecciones y aplicar prácticas de hardening en la gestión de plugins.

Señales de detección

Señales de posible explotación incluyen comportamientos inusuales en el registro de usuarios, reportes de scripts no autorizados ejecutándose en el navegador y cambios inesperados en el contenido del sitio.

Alcance afectado

Las versiones del plugin Brizy Page Builder hasta la 2.4.1 son las afectadas. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión.