HT Mega – Absolute Addons For Elementor <= 2.4.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Post Carousel Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin HT Mega – Absolute Addons para Elementor, que afecta a las versiones hasta la 2.4.4. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se presenta en el widget de carrusel de publicaciones, donde los datos no se validan correctamente. Esto permite que un atacante inyecte código JavaScript que se ejecutará en el navegador de otros usuarios, comprometiendo la seguridad de la aplicación web.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto de otros usuarios, lo que podría llevar al robo de información sensible o a la manipulación de la sesión del usuario. Esto podría afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación se realiza mediante la creación de un post que contenga el código malicioso en el widget de carrusel, el cual se ejecutará cuando otros usuarios accedan a la página que muestra dicho widget.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin HT Mega – Absolute Addons a la versión 2.4.5 o superior. Además, se sugiere revisar y sanitizar adecuadamente todos los datos que se muestran en el frontend para prevenir inyecciones de código.

Señales de detección

Se deben monitorizar los logs de actividad para detectar publicaciones sospechosas o inusuales y revisar el contenido del widget de carrusel para identificar posibles inyecciones de scripts.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.4.5 del plugin HT Mega – Absolute Addons para Elementor.