Fuente base de datos: Wordfence Intelligence

Elementor Addon Elements <= 1.13.8 - Authenticated (Contributor+) Sensitive Information Exposure via table_saved_sections

PLUGIN MEDIUM CVE-2024-8902

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha detectado una vulnerabilidad de exposición de información sensible en el plugin 'Addon Elements for Elementor Page Builder' en versiones hasta la 1.13.8. Esta vulnerabilidad afecta a usuarios autenticados con rol de contribuyente o superior.

Contexto técnico

La vulnerabilidad permite a usuarios autenticados acceder a información sensible a través de la funcionalidad 'table_saved_sections'. Esto se debe a una falta de control adecuado sobre la autorización de los usuarios, lo que expone datos que deberían estar restringidos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados acceder a información sensible, lo que podría comprometer la seguridad de la instalación y la privacidad de los datos de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante el acceso a la funcionalidad afectada por parte de un usuario autenticado con permisos de contribuyente o superiores, sin que se apliquen las restricciones adecuadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.13.9 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar políticas de acceso más estrictas.

Señales de detección

Señales de riesgo incluyen accesos inusuales a la funcionalidad 'table_saved_sections' por parte de usuarios con rol de contribuyente, así como cambios inesperados en la información sensible almacenada.

Alcance afectado

Las versiones afectadas son todas aquellas hasta la 1.13.8 del plugin 'Addon Elements for Elementor Page Builder'.