Master Addons For Elementor <= 2.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'ma_el_bh_table_btn_text'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Master Addons para Elementor, que afecta a las versiones hasta la 2.1.1. Este fallo permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.

Contexto técnico

La vulnerabilidad se encuentra en la gestión de la entrada del parámetro 'ma_el_bh_table_btn_text', lo que permite a los atacantes almacenar código JavaScript malicioso que se ejecutará en el navegador de otros usuarios. Esto representa un riesgo significativo, ya que puede ser utilizado para robar información sensible o realizar acciones no autorizadas en nombre de la víctima.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, especialmente en entornos donde se permiten múltiples usuarios con diferentes roles. La explotación exitosa puede comprometer la integridad del sitio web y la seguridad de los datos de los usuarios, afectando la confianza de los clientes y la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante la inyección de scripts en el campo afectado por un usuario autenticado, que luego se ejecutan en el contexto de otros usuarios que visualizan el contenido afectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Master Addons para Elementor a la versión 2.1.2 o superior. Además, se debe revisar la configuración de permisos de usuario y aplicar prácticas de seguridad adicionales, como la validación y el saneamiento de entradas.

Señales de detección

Señales de posible explotación incluyen la presencia de scripts inusuales en el contenido generado por el plugin, así como reportes de comportamientos anómalos por parte de usuarios en el sitio web.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.1.2 del plugin Master Addons para Elementor.