Fuente base de datos: Wordfence Intelligence

ElementsReady Addons for Elementor <= 6.4.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

PLUGIN MEDIUM CVE-2024-47329

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin ElementsReady Addons for Elementor, que afecta a las versiones hasta la 6.4.0. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se manifiesta a través de la capacidad de los usuarios autenticados para introducir código JavaScript en campos de entrada que no realizan la validación adecuada. Esto permite que el código malicioso se ejecute en el navegador de otros usuarios que visualicen el contenido afectado, facilitando ataques de XSS almacenados.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de sesiones de usuario y la posibilidad de realizar ataques más complejos contra los visitantes del sitio. Esto puede resultar en pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al hacer que un usuario autenticado, como un contribuidor, cargue un script malicioso en el sitio. Posteriormente, otros usuarios que interactúen con el contenido afectado ejecutarán el script sin su consentimiento.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 6.4.1 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales como la sanitización de entradas y la validación de datos.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en las páginas del sitio, reportes de comportamiento inusual por parte de usuarios, o alertas de seguridad que indiquen actividad sospechosa en los registros de acceso.

Alcance afectado

Las versiones del plugin ElementsReady Addons for Elementor hasta la 6.4.0 son las afectadas. La vulnerabilidad ha sido corregida en la versión 6.4.1 publicada el 25 de septiembre de 2024.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

element-ready-lite

ElementsReady Addons for Elementor <= 6.4.7 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

element-ready-lite

ElementsReady Addons for Elementor <= 6.4.3 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

element-ready-lite

ElementsReady Addons for Elementor <= 6.4.3 - Authenticated (Author+) Stored Cross-Site Scripting via SVG File Upload

MEDIUM PLUGIN

element-ready-lite

ElementsReady Addons for Elementor <= 6.1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

element-ready-lite

ElementsReady Addons for Elementor <= 5.8.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto