Move Addons for Elementor <= 1.3.5 - Authenticated (Contributor+) Sensitive Information Exposure via Elementor Templates

Resumen ejecutivo

Se ha identificado una vulnerabilidad de exposición de información sensible en el plugin Move Addons for Elementor, afectando a versiones hasta la 1.3.5. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior acceder a datos sensibles a través de plantillas de Elementor.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona las plantillas de Elementor, permitiendo que usuarios con permisos adecuados accedan a información que debería estar protegida. Esto representa una superficie de ataque que puede ser explotada por usuarios internos del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría permitir a un atacante, con acceso legítimo al sitio, obtener información sensible que podría comprometer la seguridad del negocio y la privacidad de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante el acceso a las plantillas de Elementor por parte de usuarios autenticados con privilegios de colaborador o superiores, quienes pueden visualizar información que no deberían poder acceder.

Mitigación recomendada

Se recomienda actualizar el plugin Move Addons for Elementor a la versión 1.3.6 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de los usuarios y aplicar principios de mínimo privilegio.

Señales de detección

Las señales para detectar posibles riesgos incluyen accesos inusuales a las plantillas de Elementor por parte de usuarios con rol de colaborador, así como la revisión de logs de acceso para identificar comportamientos anómalos.

Alcance afectado

Las versiones afectadas de este plugin son todas las anteriores a la 1.3.6. Es importante verificar la versión instalada en cada sitio que utilice este plugin.