Gutenberg Blocks by Kadence Blocks – Page Builder Features <= 3.2.34 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Gutenberg Blocks by Kadence Blocks' en versiones hasta la 3.2.34. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos en el contenido.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de entradas en el plugin, lo que permite a un atacante con privilegios de colaborador almacenar scripts que se ejecutan en el navegador de otros usuarios. Esto afecta la integridad del contenido y puede comprometer la seguridad de los visitantes del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código JavaScript en el contexto de otros usuarios. Esto puede llevar al robo de sesiones, redirecciones a sitios maliciosos o la manipulación del contenido del sitio, afectando la reputación y la confianza del negocio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la creación de contenido que incluye scripts maliciosos, el cual es luego visualizado por otros usuarios del sitio. Esto requiere que el atacante tenga acceso como colaborador o un rol superior.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.2.35 o superior. Además, es aconsejable revisar los permisos de los usuarios y limitar el acceso a roles que realmente necesiten la capacidad de editar contenido.

Señales de detección

Señales de posible explotación incluyen la aparición de contenido sospechoso en entradas o páginas, así como reportes de actividad inusual por parte de usuarios autenticados. Monitorear logs de actividad puede ayudar a identificar accesos no autorizados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.2.35 del plugin 'Gutenberg Blocks by Kadence Blocks'.