Essential Addons for Elementor – Best Elementor Templates, Widgets, Kits & WooCommerce Builders <= 5.9.27 - Authenticated (Contributor+) Stored Cross-Site Scripting via no_more_items_text Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Essential Addons for Elementor, que afecta a las versiones hasta la 5.9.27. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se origina en el parámetro 'no_more_items_text', que no valida correctamente la entrada del usuario. Esto permite que se almacenen scripts en el servidor, que posteriormente se ejecutan en el navegador de otros usuarios que visitan la página afectada.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante rootee el sitio, robe sesiones de usuario o realice acciones no autorizadas en nombre de otros usuarios. Esto puede comprometer la integridad y la confianza en el sitio web, afectando negativamente la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la inyección de código JavaScript a través del parámetro vulnerable, lo que puede llevar a la ejecución de scripts en el contexto de otros usuarios autenticados.

Mitigación recomendada

Actualizar el plugin Essential Addons for Elementor a la versión 6.0.0 o superior. Además, se recomienda revisar las configuraciones de seguridad y validar las entradas de usuario en formularios y parámetros.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts inusuales en el código fuente de las páginas, así como comportamientos anómalos de los usuarios, como redirecciones no autorizadas o cambios en el contenido del sitio.

Alcance afectado

Las versiones del plugin Essential Addons for Elementor hasta la 5.9.27 están afectadas. Se recomienda a todos los usuarios de este plugin verificar su versión y actualizar si es necesario.