Elementor <= 3.23.5 - Authenticated (Contributor+) Basic Information Exposure via get_image_alt Function

Resumen ejecutivo

Se ha detectado una vulnerabilidad en el plugin Elementor, que permite la exposición de información básica a través de la función get_image_alt. Esta falla afecta a las versiones anteriores a la 3.24.6 y tiene una severidad media con un CVSS de 4.3.

Contexto técnico

La vulnerabilidad se origina en la función get_image_alt del plugin Elementor, que no maneja correctamente los permisos de acceso, permitiendo a usuarios autenticados con rol de contribuyente o superior acceder a información que debería estar restringida.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la divulgación no intencionada de información sensible, lo que podría comprometer la seguridad del sitio y afectar la confianza de los usuarios. Esto puede tener repercusiones negativas en la reputación del negocio.

Vector de explotación

Los atacantes podrían aprovechar esta vulnerabilidad accediendo a la función get_image_alt mediante una sesión autenticada, lo que les permitiría obtener información que no debería ser accesible para su rol.

Mitigación recomendada

Se recomienda actualizar el plugin Elementor a la versión 3.24.6 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar buenas prácticas de seguridad en la gestión de roles.

Señales de detección

Señales de posible explotación incluyen accesos inusuales a la función get_image_alt por parte de usuarios con permisos limitados o registros de actividad sospechosa en el sistema.

Alcance afectado

Las versiones del plugin Elementor anteriores a la 3.24.6 están afectadas por esta vulnerabilidad, lo que incluye todas las instalaciones que utilicen dichas versiones.