ElementsKit Elementor addons <= 3.2.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via Image Comparison Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin ElementsKit Lite, que afecta a las versiones hasta la 3.2.9. Este fallo permite a usuarios autenticados con privilegios de contribuidor o superiores inyectar scripts maliciosos a través del widget de comparación de imágenes.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de datos en el widget de comparación de imágenes del plugin. Esto permite que un atacante, al tener acceso como contribuidor o superior, pueda insertar código JavaScript malicioso que se ejecutará en el navegador de otros usuarios que visiten la página afectada.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible, suplantación de identidad y manipulación de la experiencia del usuario. Esto puede afectar la reputación del sitio y la confianza de los usuarios, además de posibles implicaciones legales si se compromete información personal.

Vector de explotación

La explotación de esta vulnerabilidad se realiza a través de la inserción de scripts maliciosos en el widget de comparación de imágenes, lo que requiere que el atacante tenga acceso como contribuidor o superior al sitio web.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 3.3.0 o superior. Además, es aconsejable revisar los permisos de usuario y limitar el acceso a funciones críticas solo a usuarios de confianza.

Señales de detección

Se pueden detectar intentos de explotación observando cambios no autorizados en el contenido de las páginas que utilizan el widget de comparación de imágenes, así como comportamientos inusuales en los registros de actividad de los usuarios.

Alcance afectado

Las versiones afectadas del plugin ElementsKit Lite son hasta la 3.2.9. Cualquier instalación que utilice estas versiones está en riesgo.