Qi Addons For Elementor <= 1.7.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Qi Addons For Elementor, afectando a las versiones hasta la 1.7.0. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos a través del widget de cuenta atrás.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la entrada de datos del usuario en el widget de cuenta atrás. Al no sanitizar adecuadamente la entrada, se permite la ejecución de scripts en el navegador de otros usuarios que visualicen el contenido afectado.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios al permitir la ejecución de scripts maliciosos, lo que podría resultar en el robo de información sensible o en la suplantación de identidad. Esto puede afectar la reputación del sitio y la confianza de los usuarios.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la inyección de código JavaScript en el widget de cuenta atrás, que luego se ejecuta en el navegador de los visitantes del sitio que visualizan la página afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.7.1 o superior. Además, se sugiere revisar las configuraciones de seguridad y aplicar medidas de hardening en la gestión de entradas de usuario.

Señales de detección

Se pueden detectar intentos de explotación observando comportamientos inusuales en las entradas del widget de cuenta atrás y revisando los logs de errores en busca de scripts inusuales o inyecciones de código.

Alcance afectado

Las versiones del plugin Qi Addons For Elementor hasta la 1.7.0 están afectadas. Se debe verificar la versión instalada en cada sitio que utilice este plugin.