Happy Addons for Elementor <= 3.20.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via '_elementor_data' Meta Field

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Happy Addons for Elementor, que afecta a las versiones hasta la 3.20.7. Este fallo permite la inyección de scripts maliciosos a través del campo meta '_elementor_data'.

Contexto técnico

El problema radica en la falta de validación adecuada de los datos introducidos por el usuario en el campo '_elementor_data', lo que permite que un atacante autenticado con rol de contribuyente o superior inyecte código JavaScript malicioso. Esta vulnerabilidad se clasifica como de severidad media con un puntaje CVSS de 6.4.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría resultar en el robo de información sensible, redirección a sitios maliciosos o manipulación del contenido mostrado a los usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación de un post o página en el que se inserta el código malicioso en el campo vulnerable, lo que se activa cuando otros usuarios acceden a dicho contenido.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Happy Addons for Elementor a la versión 3.20.8 o superior. Además, se sugiere revisar los permisos de los roles de usuario y aplicar medidas de seguridad adicionales como la validación de entradas y la sanitización de datos.

Señales de detección

Señales de explotación pueden incluir la aparición de comportamientos inusuales en la administración del sitio, como cambios no autorizados en el contenido o la presencia de scripts no reconocidos en las páginas.

Alcance afectado

Las versiones del plugin Happy Addons for Elementor hasta la 3.20.7 son las afectadas, siendo necesario actualizar a la versión 3.20.8 para eliminar la vulnerabilidad.