Beaver Builder Addons by WPZOOM <= 1.3.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Heading Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Beaver Builder Addons de WPZOOM, que afecta a las versiones hasta la 1.3.4. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través del widget de encabezado.

Contexto técnico

La vulnerabilidad se presenta en el widget de encabezado del plugin, donde no se valida adecuadamente la entrada del usuario. Esto permite que un atacante, con acceso como colaborador, pueda almacenar código JavaScript malicioso que se ejecutará en el navegador de otros usuarios que visualicen la página comprometida.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible, suplantación de identidad y manipulación de la experiencia del usuario. Esto puede afectar la reputación de la empresa y la confianza del usuario, así como implicaciones legales si se manejan datos personales.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la inyección de scripts en el campo del widget de encabezado, que luego se almacena y se ejecuta cuando otros usuarios acceden a la página afectada.

Mitigación recomendada

Actualizar el plugin Beaver Builder Addons a la versión 1.3.5 o superior. Además, se recomienda revisar las configuraciones de seguridad y aplicar medidas de validación de entrada en otros componentes del sitio.

Señales de detección

Señales de riesgo incluyen la presencia de scripts no autorizados en las páginas generadas por el plugin, así como comportamientos inusuales en la interacción del usuario con el sitio web.

Alcance afectado

Las versiones del plugin Beaver Builder Addons de WPZOOM hasta la 1.3.4 están afectadas por esta vulnerabilidad. Se recomienda a todos los usuarios que utilicen este plugin que verifiquen su versión.