Elementor Addon Elements <= 1.13.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Addon Elements for Elementor Page Builder' en versiones hasta la 1.13.6. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

El fallo se produce debido a la falta de validación adecuada de las entradas de los usuarios en el plugin, lo que permite la ejecución de código JavaScript en el navegador de otros usuarios que visiten la página afectada. Esto representa una superficie de ataque significativa, especialmente en entornos donde se permite la colaboración.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios, permitiendo a un atacante robar información sensible, realizar acciones en nombre de otros usuarios o incluso tomar el control de sesiones. Esto puede resultar en daños a la reputación del negocio y pérdidas económicas.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante la creación de contenido malicioso que, al ser visualizado por otros usuarios, ejecuta scripts no autorizados en su navegador.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 1.13.7 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar los permisos de los usuarios y aplicar medidas de seguridad adicionales, como la implementación de un firewall de aplicaciones web.

Señales de detección

Señales de explotación pueden incluir actividad inusual en el registro de accesos, quejas de usuarios sobre comportamientos extraños en la interfaz o la presencia de scripts no autorizados en el código fuente de las páginas.

Alcance afectado

Las versiones del plugin 'Addon Elements for Elementor Page Builder' hasta la 1.13.6 son vulnerables. Las instalaciones que no han sido actualizadas a la versión 1.13.7 están en riesgo.