Fuente base de datos: Wordfence Intelligence

Beaver Builder Addons by WPZOOM <= 1.3.4 - Authenticated (Contributor+) Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2024-30424

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Beaver Builder Addons de WPZOOM, afectando a versiones anteriores a la 1.3.5. Esta falla puede permitir a un atacante autenticado ejecutar scripts maliciosos, comprometiendo la seguridad del sitio.

Contexto técnico

La vulnerabilidad se manifiesta en el componente 'Beaver Builder Addons' cuando usuarios con rol de contribuyente o superior pueden inyectar código JavaScript malicioso en el contenido. Esto se debe a la falta de validación adecuada de las entradas en el sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a atacantes ejecutar scripts que roben información sensible o alteren el comportamiento del sitio. Esto puede traducirse en pérdida de confianza de los usuarios y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando contenido malicioso a través de formularios que permiten la entrada de datos sin la debida sanitización, afectando a otros usuarios que visualicen dicho contenido.

Mitigación recomendada

Actualizar el plugin Beaver Builder Addons a la versión 1.3.5 o superior. Revisar y sanitizar el contenido existente que pueda haber sido afectado. Implementar medidas de seguridad adicionales, como Content Security Policy (CSP), para mitigar futuros ataques.

Señales de detección

Revisar los logs de acceso y errores en busca de patrones inusuales de inyección de scripts o cambios no autorizados en el contenido del sitio.

Alcance afectado

Afecta a todas las versiones del plugin Beaver Builder Addons hasta la 1.3.4. No se han reportado casos de explotación en versiones posteriores.