Primary Addon for Elementor <= 1.5.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Pricing Table Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Primary Addon for Elementor' en versiones hasta la 1.5.5. Esta vulnerabilidad permite la ejecución de scripts maliciosos en el contexto del usuario autenticado, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en el widget de tabla de precios del plugin, donde los datos introducidos por el usuario no son correctamente sanitizados. Esto permite que un atacante con privilegios de contribuyente o superiores inyecte código JavaScript malicioso que se ejecutará en el navegador de otros usuarios que visualicen la tabla de precios.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la suplantación de identidad y la manipulación del contenido del sitio. Dado que la vulnerabilidad afecta a usuarios autenticados, el riesgo es significativo, especialmente en sitios donde se gestionan datos sensibles.

Vector de explotación

La explotación se lleva a cabo mediante la inserción de scripts maliciosos en el widget de tabla de precios, que luego se ejecutan en el navegador de otros usuarios que acceden a la página donde se muestra dicho widget.

Mitigación recomendada

Actualizar el plugin 'Primary Addon for Elementor' a la versión 1.5.6 o superior. Además, se recomienda revisar y sanitizar adecuadamente todos los datos introducidos por los usuarios en los widgets del plugin.

Señales de detección

Señales de explotación incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones no autorizadas o la inyección de contenido extraño en las páginas que utilizan el widget de tabla de precios.

Alcance afectado

Las versiones del plugin 'Primary Addon for Elementor' hasta la 1.5.5 son vulnerables. Los sitios que utilizan estas versiones deben ser considerados en riesgo.