Gutenberg Blocks by Kadence Blocks – Page Builder Features <= 3.2.37 - Authenticated (Contributor+) Stored Cross-Site Scripting via Typer Effect

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Gutenberg Blocks by Kadence Blocks' en versiones hasta la 3.2.37. Esta falla permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la entrada del usuario a través de la funcionalidad 'Typer Effect'. Al no validar adecuadamente los datos de entrada, un atacante puede almacenar scripts que se ejecutan en el contexto de otros usuarios que visualizan el contenido afectado.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios finales, permitiendo a un atacante robar información sensible o realizar acciones no autorizadas en nombre de otros usuarios. Esto puede afectar la reputación del sitio y la confianza de los usuarios.

Vector de explotación

Generalmente, un atacante autenticado crea un contenido que incluye el script malicioso. Luego, otros usuarios que acceden a este contenido pueden ejecutar el script sin saberlo, lo que puede llevar a un robo de sesión o a la redirección a sitios maliciosos.

Mitigación recomendada

Actualizar el plugin 'Gutenberg Blocks by Kadence Blocks' a la versión 3.2.38 o superior. Además, se recomienda revisar los contenidos creados por usuarios con rol de contribuyente o superior para detectar posibles inyecciones de scripts.

Señales de detección

Señales de explotación pueden incluir comportamientos inusuales en la interacción de usuarios con el contenido, así como reportes de scripts no autorizados en las páginas del sitio.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.2.38 del plugin 'Gutenberg Blocks by Kadence Blocks'.