Gum Elementor Addon <= 1.3.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el plugin Gum Elementor Addon, que afecta a las versiones hasta la 1.3.6. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior ejecutar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

El fallo se origina en la falta de validación y saneamiento adecuado de los datos introducidos por los usuarios en el plugin. Esto permite que un atacante inyecte código JavaScript que se almacena y se ejecuta posteriormente en el contexto de otros usuarios que visitan la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios, permitiendo el robo de información sensible y la manipulación de la sesión. Además, puede afectar la reputación del sitio y la confianza de los usuarios en la plataforma.

Vector de explotación

Normalmente, un atacante autenticado puede aprovechar esta vulnerabilidad enviando un payload malicioso a través de formularios del plugin, que luego se almacena y se ejecuta en el navegador de otros usuarios que acceden a la misma página.

Mitigación recomendada

Actualizar el plugin Gum Elementor Addon a la versión 1.3.7 o superior. Además, se recomienda revisar y reforzar las políticas de validación de entrada y salida de datos en el sitio web.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador de los usuarios.

Alcance afectado

Las versiones del plugin Gum Elementor Addon hasta la 1.3.6 son vulnerables. Se recomienda a los administradores de sitios que utilicen este plugin realizar la actualización de inmediato.