Fuente base de datos: Wordfence Intelligence

PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.19 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2024-5327

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin PowerPack Addons for Elementor, que afecta a versiones anteriores a la 2.7.20. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

El fallo se produce debido a una gestión inadecuada de la entrada del usuario en el plugin, lo que permite la ejecución de scripts en el contexto del navegador de otros usuarios. La superficie de ataque se centra en la interacción de usuarios autenticados que pueden manipular datos almacenados en el sistema.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios y de la información en el sitio, permitiendo a un atacante ejecutar scripts maliciosos que podrían robar información sensible o realizar acciones no autorizadas en nombre de otros usuarios.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la inyección de código JavaScript a través de formularios o campos de entrada del plugin, que luego se almacena y se ejecuta en el navegador de otros usuarios que acceden a la misma página.

Mitigación recomendada

Se recomienda actualizar el plugin PowerPack Addons for Elementor a la versión 2.7.20 o superior. Además, se sugiere revisar y sanitizar adecuadamente todas las entradas de usuario y aplicar medidas de seguridad adicionales, como Content Security Policy (CSP).

Señales de detección

Señales de posible explotación incluyen la aparición de comportamientos inusuales en la interfaz de usuario, como redirecciones no solicitadas o la ejecución de scripts no autorizados en el navegador. Monitorear logs de acceso y errores también puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin PowerPack Addons for Elementor anteriores a la 2.7.20 están afectadas. Esto incluye todas las instalaciones que utilicen versiones hasta la 2.7.19.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

powerpack-lite-for-elementor

PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.19 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

Resumen ejecutivo

Contexto técnico

Impacto potencial

Vector de explotación

Mitigación recomendada

Señales de detección

Alcance afectado

Vulnerabilidades relacionadas

PowerPack Lite for Elementor <= 2.9.4 - Authenticated (Contributor+) Stored Cross-Site Scripting Via 'cursor_url'

PowerPack Elementor Addons (Free Widgets, Extensions and Templates) <= 2.9.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.20 - Authenticated (Contributor+) Stored Cross-Site Scripting via Link Effects Widget

PowerPack Addons for Elementor <= 2.7.18 - Authenticated (Contributor+) Stored Cross-Site Scripting via Twitter Tweet Widget

PowerPack Addons for Elementor <= 2.7.17 - Authenticated (Contributor+) Stored Cross-Site Scripting via *_html_tag*

PowerPack Addons for Elementor <= 2.7.15 - Authenticated (Contributor+) Stored Cross-Site Scripting via Twitter Buttons Widget

PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) <= 2.7.14 - Authenticated (Contributor+) Stored Cross-Site Scripting

PowerPack Addons for Elementor <= 2.6.1 - Reflected Cross-Site Scripting

Comprueba si tu web tiene esta vulnerabilidad

¿Necesitas ayuda de un experto?

PowerPack Addons for Elementor <= 2.7.17 - Authenticated (Contributor+) Stored Cross-Site Scripting via _html_tag