Ultimate Addons for Beaver Builder – Lite <= 1.5.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Info Table Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Ultimate Addons for Beaver Builder – Lite' en versiones hasta la 1.5.7. Esta falla permite a usuarios autenticados con rol de contribuidor o superior ejecutar scripts maliciosos.

Contexto técnico

La vulnerabilidad radica en el widget Info Table del plugin, donde no se validan adecuadamente las entradas de los usuarios. Esto permite la inyección de código JavaScript que se ejecuta en el navegador de otros usuarios que visualizan el contenido afectado.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible, como cookies de sesión, o redirija a los usuarios a sitios maliciosos. Esto puede comprometer la integridad de la web y afectar la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad se realiza a través de la creación de contenido que incluya scripts maliciosos, el cual es luego visualizado por otros usuarios. Esto requiere que el atacante tenga acceso como usuario autenticado con rol de contribuidor o superior.

Mitigación recomendada

Actualizar el plugin a la versión 1.5.8 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar medidas de validación de entrada en el contenido generado por los usuarios.

Señales de detección

Señales de explotación pueden incluir actividad inusual en el registro de usuarios, como la creación de contenido sospechoso o la aparición de scripts no autorizados en las páginas del sitio.

Alcance afectado

Las versiones del plugin 'Ultimate Addons for Beaver Builder – Lite' hasta la 1.5.7 son vulnerables. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión.