Element Pack Elementor Addons <= 8.4.2 - Authenticated (Editor+) SQL Injection en Bdthemes Element Pack Lite (inyeccion SQL) - version 8.5.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en Element Pack para Elementor, afectando a versiones hasta la 8.4.2. Este fallo, clasificado como de severidad media, puede comprometer la integridad de los datos en sitios web que utilizan este complemento.

Contexto técnico

La vulnerabilidad se presenta en el componente Element Pack Elementor Addons, específicamente en versiones hasta la 8.4.2. El fallo permite a usuarios autenticados con rol de Editor o superior ejecutar consultas SQL maliciosas, exponiendo así la base de datos del sitio.

Impacto potencial

El impacto en el negocio puede incluir la manipulación no autorizada de datos y potencial pérdida de información sensible. Además, podría facilitar un acceso no autorizado a información crítica, afectando la confianza de los usuarios y la reputación del sitio.

Vector de explotación

La explotación se lleva a cabo mediante la inyección de comandos SQL en formularios o parámetros de entrada, aprovechando las credenciales de usuarios autenticados.

Mitigación recomendada

Actualizar el complemento Element Pack Elementor Addons a la versión 8.5.0 o superior. Revisar los registros de acceso para detectar actividad inusual por parte de usuarios autenticados. Implementar medidas de seguridad adicionales, como la limitación de roles y permisos para usuarios. Realizar auditorías de seguridad periódicas para identificar y mitigar vulnerabilidades.

Señales de detección

Señales de riesgo incluyen registros de errores SQL en los logs del servidor y cambios no autorizados en la base de datos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 8.5.0. No se han confirmado casos en versiones posteriores.