King Addons for Elementor <= 51.1.39 - Authenticated (Contributor+) Stored Cross-Site Scripting via Multiple Widgets

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin King Addons for Elementor, que afecta a versiones anteriores a la 51.1.39. Este fallo puede ser explotado por usuarios autenticados con rol de colaborador o superior.

Contexto técnico

La vulnerabilidad permite inyección de scripts maliciosos a través de múltiples widgets del plugin, lo que puede comprometer la seguridad del sitio al permitir que el código malicioso se ejecute en el navegador de otros usuarios.

Impacto potencial

El impacto de esta vulnerabilidad podría ser significativo, ya que permite a un atacante ejecutar scripts en el contexto de otros usuarios, lo que podría resultar en robo de información, suplantación de identidad o manipulación de contenido.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante la creación de contenido malicioso a través de widgets del plugin, que luego es visualizado por otros usuarios del sitio web.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin King Addons for Elementor a la versión 51.1.39 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar medidas de seguridad adicionales como la validación de entradas.

Señales de detección

Señales de posible explotación incluyen la aparición de scripts no autorizados en el contenido de los widgets o actividad inusual en las cuentas de usuarios con permisos de colaborador o superiores.

Alcance afectado

Las versiones afectadas son todas las versiones anteriores a la 51.1.39 del plugin King Addons for Elementor.