Ultimate Addons for Elementor Lite <= 2.4.9 - Authenticated (Author+) Stored Cross-Site Scripting via SVG Upload

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Ultimate Addons for Elementor Lite, que afecta a las versiones hasta la 2.4.9. Esta falla permite la ejecución de scripts maliciosos a través de la carga de archivos SVG, comprometiendo la seguridad de las instalaciones afectadas.

Contexto técnico

El fallo se produce debido a una validación insuficiente de los archivos SVG subidos por los usuarios autenticados, específicamente los autores. Esto permite que un atacante inyecte código JavaScript malicioso que se ejecutará en el navegador de otros usuarios que visiten la página afectada.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts no autorizados, lo que podría resultar en el robo de información sensible, la manipulación de sesiones de usuario o la redirección a sitios maliciosos. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Generalmente, un atacante autenticado (como un autor) sube un archivo SVG manipulado que contiene código malicioso. Cuando otros usuarios acceden a la página que utiliza este archivo, el script se ejecuta en su navegador.

Mitigación recomendada

Actualizar el plugin Ultimate Addons for Elementor Lite a la versión 2.5.0 o superior. Además, se recomienda revisar las configuraciones de carga de archivos y aplicar políticas de validación estrictas para los tipos de archivos permitidos.

Señales de detección

Señales de riesgo incluyen la presencia de archivos SVG no autorizados en el sistema, comportamientos inusuales en el tráfico web, o reportes de usuarios sobre redirecciones inesperadas o comportamientos anómalos en la interfaz.

Alcance afectado

Las versiones del plugin Ultimate Addons for Elementor Lite hasta la 2.4.9 son vulnerables. Las instalaciones que no han actualizado a la versión 2.5.0 o superior están en riesgo.