Brizy – Page Builder <= 2.4.41 - Authenticated(Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Brizy – Page Builder, afectando a las versiones hasta la 2.4.41. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior ejecutar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

La vulnerabilidad se presenta como un fallo de XSS almacenado, donde un atacante puede inyectar código JavaScript en los campos de entrada que luego se almacenan y se muestran a otros usuarios. Esto se debe a una falta de validación adecuada de los datos introducidos por el usuario.

Impacto potencial

El impacto potencial incluye el robo de información sensible, el secuestro de sesiones y la manipulación de la experiencia del usuario en el sitio web. Esto puede resultar en una pérdida de confianza por parte de los usuarios y daños a la reputación de la marca.

Vector de explotación

La explotación de esta vulnerabilidad generalmente implica que un atacante autenticado envíe contenido malicioso a través de formularios del plugin, que luego se almacena y se muestra a otros usuarios, permitiendo la ejecución de scripts en sus navegadores.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Brizy – Page Builder a la versión 2.4.42 o superior. Además, se debe revisar la configuración de seguridad del sitio y aplicar medidas de hardening, como la validación de entradas y el uso de políticas de contenido.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas, cambios no autorizados en el contenido o la presencia de scripts no reconocidos en las páginas.

Alcance afectado

Las versiones del plugin Brizy – Page Builder hasta la 2.4.41 están afectadas. Se recomienda a todos los usuarios de este plugin que realicen la actualización correspondiente para evitar riesgos.