Jeg Elementor Kit <= 2.6.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via JKit - Banner

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Jeg Elementor Kit, que afecta a las versiones hasta la 2.6.4. Este fallo permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos a través de banners.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de entradas en el componente JKit - Banner del plugin. Al no sanitizar correctamente las entradas, un atacante puede insertar código JavaScript que se ejecutará en el navegador de otros usuarios que visiten la página afectada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante robar información sensible, realizar phishing o redirigir a usuarios a sitios maliciosos. Esto puede dañar la reputación de la web y comprometer la seguridad de los usuarios.

Vector de explotación

Normalmente, la explotación se lleva a cabo mediante la creación de un banner que contenga código JavaScript malicioso. Un usuario autenticado con los permisos adecuados puede publicar este banner, lo que desencadena la ejecución del script en el contexto de otros usuarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Jeg Elementor Kit a la versión 2.6.5 o superior. Además, se sugiere revisar y sanitizar todas las entradas de usuario en el sistema para prevenir futuros ataques XSS.

Señales de detección

Se pueden detectar intentos de explotación observando actividades inusuales en los logs de acceso, como la creación de banners con contenido sospechoso o la inclusión de scripts en las entradas de usuario.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.6.5 del plugin Jeg Elementor Kit. Las instalaciones que utilicen estas versiones están en riesgo.