Avada | Website Builder For WordPress & eCommerce <= 3.11.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via fusion_button Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Fusion Builder para WordPress, que afecta a versiones hasta la 3.11.9. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se origina en el shortcode 'fusion_button' del plugin, que no valida adecuadamente los datos de entrada. Esto permite que un atacante que tenga acceso a la administración del sitio pueda insertar código JavaScript que se ejecutará en el navegador de otros usuarios.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible, redirección a sitios maliciosos y manipulación de la experiencia del usuario. Esto puede afectar la reputación del sitio y la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la creación de un botón utilizando el shortcode 'fusion_button', inyectando código JavaScript que se ejecutará cuando otros usuarios visiten la página que contiene el botón.

Mitigación recomendada

Se recomienda actualizar el plugin Fusion Builder a la versión 3.11.10 o superior. Además, se debe revisar y restringir los permisos de los usuarios que pueden acceder a la creación de contenido con este shortcode.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en el contenido del sitio, aparición de scripts extraños en el código fuente de las páginas y reportes de comportamientos inusuales por parte de los usuarios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.11.10 del plugin Fusion Builder. Se recomienda a los administradores de WordPress verificar la versión instalada.