Brizy – Page Builder <= 2.4.40 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Brizy Page Builder, que afecta a las versiones hasta la 2.4.40. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos en el sitio web.

Contexto técnico

La vulnerabilidad se manifiesta a través de una inyección de código en el almacenamiento, lo que permite a los atacantes ejecutar scripts en el contexto de otros usuarios. Esto ocurre en la gestión de contenido donde los usuarios pueden introducir datos que se almacenan sin la debida sanitización.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de robo de información sensible, suplantación de identidad de usuarios y manipulación del contenido mostrado en el sitio. Esto puede resultar en daños a la reputación del negocio y pérdida de confianza por parte de los usuarios.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante la creación de contenido malicioso por parte de un usuario autenticado, que al ser visualizado por otros usuarios, ejecuta el script inyectado en su navegador.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Brizy a la versión 2.4.41 o superior. Además, es aconsejable revisar y sanitizar cualquier dato introducido por los usuarios, así como aplicar políticas de control de acceso más estrictas.

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones no autorizadas o la ejecución de scripts inesperados en el navegador de los usuarios.

Alcance afectado

Las versiones del plugin Brizy Page Builder hasta la 2.4.40 están afectadas por esta vulnerabilidad, lo que incluye todas las instalaciones que no hayan sido actualizadas a la versión corregida.