WPBakery Page Builder <= 8.4.1 - Authenticated (Author+) Stored Cross-Site Scripting via Grid Builder

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WPBakery Page Builder hasta la versión 8.4.1. Esta falla permite a un atacante autenticado ejecutar scripts maliciosos en el navegador de otros usuarios.

Contexto técnico

La vulnerabilidad se origina en el uso inadecuado de entradas no sanitizadas en la funcionalidad Grid Builder del plugin. Esto permite que un usuario con privilegios de autor o superiores inyecte código JavaScript que se ejecutará en el contexto de otros usuarios que visualicen la página afectada.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de cookies de sesión, redirección a sitios maliciosos o la ejecución de acciones no autorizadas en nombre de otros usuarios. Esto puede comprometer la integridad de la información y la confianza de los usuarios en el sitio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente requiere que el atacante tenga acceso autenticado al panel de administración del sitio, lo que limita su alcance a usuarios con privilegios de autor o superiores.

Mitigación recomendada

Se recomienda actualizar el plugin WPBakery Page Builder a la versión 8.5 o superior para mitigar esta vulnerabilidad. Además, se sugiere realizar una revisión de las configuraciones de seguridad y aplicar prácticas de codificación segura en el desarrollo de plugins y temas.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts inusuales en el HTML de las páginas, actividad sospechosa en las cuentas de usuario y reportes de comportamientos anómalos en el sitio web.

Alcance afectado

Las versiones afectadas son todas las versiones de WPBakery Page Builder hasta la 8.4.1. La vulnerabilidad ha sido corregida en la versión 8.5 lanzada el 18 de junio de 2025.