Prime Slider – Addons For Elementor <= 3.13.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Fiestar Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Prime Slider para Elementor, que afecta a las versiones hasta la 3.13.1. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se presenta en el widget Fiestar del plugin Prime Slider, permitiendo a un atacante autenticado ejecutar código JavaScript en el contexto de otros usuarios. Esto se traduce en un riesgo de ejecución de scripts no autorizados en el navegador de la víctima.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de sesiones de usuario y la posibilidad de redirigir a los usuarios a sitios maliciosos. Esto podría comprometer la integridad de la web y afectar la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad requiere que el atacante tenga acceso como usuario autenticado, lo que limita el riesgo a entornos donde se permiten múltiples roles de usuario. Los atacantes pueden aprovechar esta situación para inyectar código malicioso a través del widget afectado.

Mitigación recomendada

Se recomienda actualizar el plugin Prime Slider a la versión 3.13.2 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar medidas de seguridad adicionales, como la validación de entradas y la sanitización de datos.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en las páginas generadas por el plugin, así como comportamientos inusuales de los usuarios autenticados que podrían indicar un ataque en curso.

Alcance afectado

Las versiones del plugin Prime Slider para Elementor hasta la 3.13.1 son las afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen la versión instalada.