Qi Addons For Elementor <= 1.6.7 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Qi Addons For Elementor, que afecta a las versiones hasta la 1.6.7. Este fallo permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de los datos introducidos por los usuarios en ciertas áreas del plugin. Esto permite que se almacenen scripts maliciosos en el servidor, los cuales se ejecutan en el navegador de otros usuarios cuando acceden a las páginas afectadas.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye el robo de información sensible, la manipulación del contenido del sitio y la posible propagación de malware a los visitantes. Esto puede dañar la reputación del negocio y afectar la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante la inserción de código JavaScript malicioso en campos de entrada del plugin, que luego se almacena y se ejecuta en las sesiones de otros usuarios que visitan el sitio web.

Mitigación recomendada

Se recomienda actualizar el plugin Qi Addons For Elementor a la versión 1.6.8 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar y restringir los permisos de los usuarios, así como implementar medidas de seguridad adicionales como Content Security Policy (CSP).

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas, scripts extraños en el código fuente de las páginas o reportes de usuarios sobre comportamientos extraños al interactuar con el sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Qi Addons For Elementor hasta la 1.6.7. Se recomienda verificar todas las instalaciones que utilicen este plugin.