ElementsKit Elementor addons <= 3.0.3 - Authenticated(Editor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin ElementsKit para Elementor, que afecta a las versiones hasta la 3.0.3. Esta vulnerabilidad permite a un atacante autenticado inyectar scripts maliciosos en el sitio web.

Contexto técnico

El fallo se encuentra en la forma en que ElementsKit maneja las entradas de los usuarios, permitiendo que un atacante con permisos de Editor o superiores inserte código JavaScript malicioso que se almacena y se ejecuta en el navegador de otros usuarios que visiten la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad del sitio web, permitiendo a los atacantes robar información sensible de los usuarios o realizar acciones no autorizadas en nombre de otros. Esto puede resultar en daños a la reputación y pérdidas económicas para el negocio.

Vector de explotación

La explotación suele realizarse a través de formularios o campos de entrada que permiten a los usuarios autenticados introducir contenido, donde el atacante inserta código JavaScript que luego se ejecuta en el contexto de otros usuarios que visualizan la página afectada.

Mitigación recomendada

Actualizar el plugin ElementsKit a la versión 3.0.4 o superior, revisar los permisos de los usuarios para limitar el acceso a funciones críticas y aplicar filtros de validación en las entradas de los usuarios para prevenir inyecciones de código.

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en el sitio web, como redirecciones inesperadas o la ejecución de scripts no autorizados. Además, se deben monitorizar los registros de actividad de los usuarios para detectar accesos no habituales.

Alcance afectado

Las versiones del plugin ElementsKit para Elementor hasta la 3.0.3 están afectadas. Las instalaciones que no han actualizado a la versión 3.0.4 o superior corren riesgo.