WPBakery Page Builder for WordPress <= 6.12.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WPBakery Page Builder para WordPress, que afecta a las versiones hasta la 6.12.0. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos en el sitio web.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja las entradas de los usuarios, permitiendo que un atacante con privilegios de contribuidor o superiores inserte código JavaScript malicioso que se ejecuta en el navegador de otros usuarios que visualizan el contenido afectado.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad del sitio web, permitiendo a los atacantes robar información sensible, realizar acciones no autorizadas en nombre de otros usuarios o incluso tomar el control total del sitio, lo que podría resultar en daños reputacionales y financieros.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la creación de contenido que incluya el script malicioso, que se ejecuta cuando otros usuarios acceden a la página que contiene dicho contenido.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin WPBakery Page Builder a la versión 6.13.0 o superior. Además, se debe revisar y sanitizar adecuadamente todas las entradas de los usuarios, y aplicar medidas de seguridad adicionales como la implementación de Content Security Policy (CSP).

Señales de detección

Se pueden observar señales de explotación a través de la aparición de scripts no autorizados en el contenido del sitio o en las respuestas HTTP, así como comportamientos inusuales de los usuarios que podrían indicar que se están ejecutando scripts maliciosos.

Alcance afectado

Las versiones del plugin WPBakery Page Builder hasta la 6.12.0 están afectadas. Es crucial verificar las instalaciones para asegurar que no se esté utilizando una versión vulnerable.