Jeg Elementor Kit <= 3.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown Widget

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Jeg Elementor Kit, que afecta a las versiones hasta la 3.0.1. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos mediante el widget de cuenta atrás.

Contexto técnico

El fallo se produce en el widget de cuenta atrás del plugin, donde no se valida adecuadamente la entrada del usuario. Esto permite que un atacante, con permisos de colaborador o superiores, pueda insertar código JavaScript que se ejecutará en el navegador de otros usuarios que visiten la página afectada.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible, realice acciones en nombre de otros usuarios o comprometa la integridad del sitio web. Esto puede afectar la reputación de la empresa y la confianza de los usuarios en la plataforma.

Vector de explotación

La explotación de esta vulnerabilidad se realiza a través de la inyección de scripts maliciosos en el widget de cuenta atrás, lo que requiere que el atacante tenga acceso al panel de administración del sitio con un rol adecuado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Jeg Elementor Kit a la versión 3.0.2 o superior. Además, se debe revisar y restringir los permisos de los usuarios en el sitio para limitar el acceso a aquellos que realmente lo necesitan.

Señales de detección

Señales de riesgo pueden incluir la presencia de scripts no autorizados en las páginas que utilizan el widget de cuenta atrás, así como reportes de comportamientos inusuales por parte de los usuarios del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Jeg Elementor Kit hasta la 3.0.1. Es importante verificar la instalación del plugin en todos los sitios que lo utilicen.