Elementor Website Builder <= 3.35.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via REST API

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Elementor, afectando a versiones hasta la 3.35.5. Este fallo permite a usuarios autenticados con rol de contribuidor o superior ejecutar scripts maliciosos, comprometiendo la seguridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en la API REST de Elementor, donde los atacantes pueden inyectar scripts a través de entradas manipuladas. Esto requiere que el atacante tenga un acceso autenticado con permisos de contribuidor o superior, lo que limita el vector de ataque a usuarios internos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de código malicioso en el contexto del navegador de otros usuarios. Esto puede llevar a robo de información, redirección a sitios maliciosos o alteración del contenido del sitio, afectando la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la manipulación de solicitudes a la API REST, donde se pueden enviar datos que incluyan scripts maliciosos, ejecutándose en el navegador de otros usuarios que accedan a las páginas afectadas.

Mitigación recomendada

Actualizar Elementor a la versión 3.35.6 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y limitar el acceso a roles necesarios. Implementar medidas de seguridad adicionales, como la validación de entradas y el uso de Content Security Policy (CSP).

Señales de detección

Monitorizar los logs de acceso para detectar patrones inusuales en las solicitudes a la API REST, así como revisar cualquier comportamiento sospechoso en el contenido generado por usuarios autenticados.

Alcance afectado

Las versiones de Elementor hasta la 3.35.5 están afectadas. No se han confirmado otros escenarios de explotación fuera de los mencionados.