Stratum – Elementor Widgets <= 1.6.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Advanced Google Maps and Image Hotspot Widgets

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Stratum para Elementor, que afecta a las versiones hasta la 1.6.0. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

El fallo se origina en los widgets de Advanced Google Maps y Image Hotspot, donde la falta de validación adecuada de la entrada permite que se almacenen scripts maliciosos. Esto puede ser aprovechado por atacantes para ejecutar código en el navegador de otros usuarios que visualicen la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios finales, permitiendo el robo de información sensible o la manipulación de la experiencia del usuario. Además, puede dañar la reputación del sitio web y afectar la confianza de los usuarios.

Vector de explotación

Generalmente, un atacante autenticado puede insertar un script malicioso a través de los widgets vulnerables, que luego se ejecutará en el contexto de otros usuarios que accedan a la página donde se ha inyectado el código.

Mitigación recomendada

Actualizar el plugin Stratum a la versión 1.6.1 o superior. Además, se recomienda revisar las configuraciones de seguridad y aplicar medidas de hardening en la instalación de WordPress, como la validación de entradas y la sanitización de datos.

Señales de detección

Se deben monitorizar los logs de actividad para detectar comportamientos inusuales de usuarios autenticados, así como revisar el contenido de las páginas generadas para identificar scripts no autorizados.

Alcance afectado

Las versiones del plugin Stratum para Elementor hasta la 1.6.0 están afectadas. La versión 1.6.1 corrige esta vulnerabilidad.