Bold Page Builder <= 5.4.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via `percentage` Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Bold Page Builder, que afecta a las versiones hasta la 5.4.5. Esta falla puede ser explotada por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad se presenta a través del parámetro `percentage`, permitiendo a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios. Esto se clasifica como un ataque de XSS almacenado, donde el código malicioso se guarda en el servidor y se muestra a otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la seguridad de los datos de los usuarios y permitir a un atacante realizar acciones no autorizadas en el contexto de la sesión de otros usuarios, afectando la integridad y la confianza en la plataforma.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la inyección de código JavaScript en el campo `percentage`, que luego se almacena y se ejecuta en las sesiones de otros usuarios que acceden a la página afectada.

Mitigación recomendada

Actualizar el plugin Bold Page Builder a la versión 5.4.6 o superior para corregir esta vulnerabilidad. Además, se recomienda realizar una revisión de los permisos de usuario y aplicar prácticas de codificación segura.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en el contenido generado por el plugin y reportes de comportamientos extraños en las sesiones de usuarios autenticados.

Alcance afectado

Las versiones del plugin Bold Page Builder hasta la 5.4.5 son vulnerables. Se debe verificar la instalación y actualizar a la versión corregida.