Qi Addons For Elementor <= 1.9.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin Qi Addons For Elementor, afectando a versiones hasta la 1.9.1. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se presenta en la forma en que el plugin maneja las entradas de los usuarios, permitiendo que se almacenen scripts maliciosos que posteriormente son ejecutados en el navegador de otros usuarios. Esto se produce en un contexto donde se espera que las entradas sean seguras, lo que expone a los usuarios a ataques XSS.

Impacto potencial

El impacto puede ser significativo, ya que un atacante podría robar sesiones de usuario, realizar acciones en nombre de otros o redirigir a los usuarios a sitios maliciosos. Esto puede comprometer la integridad de la web y afectar la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante la inyección de código JavaScript en campos que son procesados por el plugin, permitiendo que el script se ejecute en el contexto de otros usuarios que visiten la página afectada.

Mitigación recomendada

Actualizar el plugin Qi Addons For Elementor a la versión 1.9.2 o superior. Además, se recomienda revisar las configuraciones de seguridad y aplicar medidas de hardening en WordPress para mitigar riesgos de XSS.

Señales de detección

Señales de riesgo incluyen la presencia de scripts inusuales en las entradas de usuario, comportamientos anómalos en la interacción del usuario con la web, y alertas de seguridad de plugins que puedan detectar XSS.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Qi Addons For Elementor hasta la 1.9.1. Las instalaciones en las que se utiliza este plugin son vulnerables si no han sido actualizadas.