Happy Addons for Elementor <= 3.10.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Image Stack Group Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Happy Addons for Elementor, que afecta a las versiones hasta la 3.10.7. Esta vulnerabilidad tiene una puntuación CVSS de 6.4, lo que indica un riesgo medio para la seguridad de las instalaciones afectadas.

Contexto técnico

El fallo se produce a través del widget Image Stack Group, donde los usuarios autenticados con rol de contribuyente o superior pueden inyectar scripts maliciosos que se almacenan y se ejecutan en el navegador de otros usuarios. Esto expone a los visitantes a ataques XSS.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante robar información sensible, como credenciales de usuario, o realizar acciones no autorizadas en nombre de otros usuarios, lo que compromete la integridad y la reputación del sitio web.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando contenido malicioso a través del widget afectado, que luego se almacena y se muestra a otros usuarios sin la debida sanitización.

Mitigación recomendada

Actualizar el plugin Happy Addons for Elementor a la versión 3.10.8 o superior. Además, se recomienda revisar los permisos de los usuarios y aplicar medidas de hardening en la configuración de WordPress para limitar la capacidad de inyección de scripts.

Señales de detección

Señales de riesgo incluyen la aparición de scripts no autorizados en el contenido generado por usuarios o la actividad sospechosa en el panel de administración que implique cambios en los widgets del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.10.8 del plugin Happy Addons for Elementor.