Page Builder: Live Composer <= 1.5.42 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Page Builder: Live Composer, que afecta a las versiones hasta la 1.5.42. Esta vulnerabilidad puede ser aprovechada por usuarios autenticados con rol de contribuyente o superior.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las entradas de los usuarios, permitiendo que se inyecte código JavaScript malicioso en las páginas. Esto se traduce en una exposición a ataques XSS, donde un atacante puede ejecutar scripts en el navegador de un usuario que visite la página afectada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto de otros usuarios autenticados, lo que podría llevar al robo de información sensible, suplantación de identidad o manipulación de contenido en el sitio web.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante la inyección de código malicioso en campos de entrada que no son adecuadamente validados, accesibles para usuarios con permisos de contribuyente o superiores.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.5.43 o superior. Además, es aconsejable implementar medidas de validación y sanitización de entradas en el desarrollo de plugins y temas personalizados.

Señales de detección

Se pueden detectar intentos de explotación observando comportamientos inusuales en las entradas de los formularios, así como la aparición de scripts no autorizados en el contenido generado por usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Page Builder: Live Composer hasta la 1.5.42. Las instalaciones que no han actualizado a la versión 1.5.43 están en riesgo.