The Plus Addons for Elementor Page Builder Lite <= 6.2.7 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'The Plus Addons for Elementor Page Builder Lite' en versiones hasta la 6.2.7. Esta falla permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se presenta en la forma en que el plugin maneja las entradas de los usuarios, permitiendo la inyección de código JavaScript en el contenido almacenado. Esto afecta principalmente a las funcionalidades que permiten a los usuarios agregar contenido dinámico a las páginas.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante ejecute scripts en el navegador de otros usuarios, lo que puede llevar al robo de información sensible o redirección a sitios maliciosos. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación se realiza generalmente mediante la creación de contenido que incluya scripts maliciosos, el cual es luego visualizado por otros usuarios. Esto requiere que el atacante tenga acceso como usuario autenticado con rol de contribuyente o superior.

Mitigación recomendada

Actualizar el plugin 'The Plus Addons for Elementor Page Builder Lite' a la versión 6.2.8 o superior. Además, se recomienda revisar y sanitizar las entradas de los usuarios para prevenir inyecciones de código en el futuro.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio web, como redirecciones no autorizadas o la ejecución de scripts inesperados en el navegador de los usuarios.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin hasta la 6.2.7. La vulnerabilidad afecta a todos los sitios que utilicen este plugin en dichas versiones.