Fuente base de datos: Wordfence Intelligence

Livemesh Addons for WPBakery Page Builder <= 3.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via shortcode

PLUGIN MEDIUM CVE-2024-30183

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Livemesh Addons para WPBakery Page Builder, que afecta a versiones hasta la 3.7. Este fallo permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los shortcodes, permitiendo que se inserten scripts no sanitizados en el contenido. Esto puede ser aprovechado por usuarios con permisos adecuados para ejecutar código JavaScript en el contexto de otros usuarios, lo que puede llevar a la manipulación de la sesión o al robo de información sensible.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante autenticado comprometer la seguridad de otros usuarios en el sitio. Esto puede resultar en la pérdida de datos, la alteración de contenido o la ejecución de acciones no autorizadas en nombre de otros usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante la inserción de un shortcode malicioso en una entrada o página, que luego es procesado y ejecutado en el navegador de otros usuarios que visualizan el contenido afectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.8 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar medidas de hardening en la configuración de WordPress para limitar el acceso a funciones críticas.

Señales de detección

Se pueden detectar intentos de explotación observando la aparición de scripts sospechosos en el contenido generado por el plugin o en las entradas donde se utilizan shortcodes. También es recomendable monitorizar los logs de actividad de usuarios para identificar comportamientos inusuales.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.8 del plugin Livemesh Addons para WPBakery Page Builder.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

addons-for-visual-composer

Livemesh Addons for WPBakery Page Builder <= 3.9.4 - Authenticated (Editor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

addons-for-visual-composer

Livemesh Addons for WPBakery Page Builder <= 3.9 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

addons-for-visual-composer

WPBakery Page Builder Addons by Livemesh <= 3.8.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

addons-for-visual-composer

Livemesh Addons for WPBakery Page Builder <= 3.5 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

addons-for-visual-composer

Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto