Gutenberg Blocks with AI by Kadence WP – Page Builder Features <= 3.2.42 - Authenticated (Contributor+) Stored Cross-Site Scripting in Google Maps Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin 'Gutenberg Blocks with AI by Kadence WP' en versiones hasta la 3.2.42. Este fallo afecta a usuarios autenticados con rol de contribuidor o superior y puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se presenta en el widget de Google Maps, permitiendo a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios. Esto se debe a la falta de validación adecuada de los datos introducidos por el usuario, lo que abre la puerta a ataques de tipo Cross-Site Scripting (XSS).

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código JavaScript en el contexto del navegador de otros usuarios, lo que podría resultar en el robo de información sensible, la manipulación de sesiones o la redirección a sitios maliciosos.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando contenido malicioso a través del widget de Google Maps, que luego es visualizado por otros usuarios autenticados, ejecutando así el script malicioso en sus navegadores.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 3.2.43 o superior. Además, es aconsejable revisar las configuraciones de seguridad del sitio y aplicar medidas de validación de entrada más estrictas.

Señales de detección

Se pueden identificar señales de explotación mediante la monitorización de comportamientos inusuales en el sitio, como la aparición de scripts no autorizados o la actividad sospechosa de usuarios autenticados.

Alcance afectado

Las versiones del plugin 'Gutenberg Blocks with AI by Kadence WP' hasta la 3.2.42 están afectadas. Los usuarios que cuenten con roles de contribuidor o superiores son los más vulnerables a este ataque.