Royal Elementor Addons and Templates <= 1.7.1036 - Authenticated (Contributor+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Royal Elementor Addons y Templates, que afecta a las versiones hasta la 1.7.1036. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuyente o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se presenta como un fallo de validación de entrada que permite la inyección de código JavaScript en el contenido almacenado. Esto puede ser aprovechado por atacantes que tengan acceso a la administración del sitio, facilitando la ejecución de scripts en el navegador de otros usuarios.

Impacto potencial

El impacto potencial incluye la posibilidad de robo de información sensible, redirección a sitios maliciosos y afectación de la reputación del negocio. Además, podría comprometer la integridad de los datos del usuario y la confianza en la plataforma.

Vector de explotación

Suele ser explotada por usuarios autenticados que pueden enviar contenido malicioso a través de formularios o campos de entrada que no están debidamente filtrados, afectando a otros usuarios que visualicen dicho contenido.

Mitigación recomendada

Actualizar el plugin Royal Elementor Addons y Templates a la versión 1.7.1037 o superior. Además, se recomienda revisar los permisos de usuario y aplicar políticas de seguridad que limiten el acceso a funciones críticas.

Señales de detección

Señales de riesgo incluyen la aparición de scripts no autorizados en el contenido, comportamientos inusuales en el sitio, y reportes de usuarios sobre redirecciones o pop-ups inesperados.

Alcance afectado

Las versiones de Royal Elementor Addons y Templates hasta la 1.7.1036 son las afectadas. La vulnerabilidad ha sido corregida en la versión 1.7.1037.