Animation Addons for Elementor – GSAP Motion Elementor Addons & Website Templates <= 2.6.3 - Authenticated (Contributor+) Stored Cross-Site Scripting (Cross-Site Scripting (XSS)) - version 2.6.4

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Animation Addons for Elementor, afectando a las versiones hasta 2.6.3. Esta falla permite a usuarios autenticados con rol de contribuyente inyectar scripts maliciosos, comprometiendo la seguridad del sitio.

Contexto técnico

El fallo se presenta en el plugin Animation Addons for Elementor, específicamente en su capacidad para manejar entradas de usuarios. La superficie de ataque se activa cuando un usuario autenticado, con permisos de contribuyente o superiores, envía datos que no son debidamente sanitizados, permitiendo la ejecución de scripts no autorizados.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la inyección de contenido malicioso en el sitio, afectando la integridad de los datos y la confianza de los usuarios. Esto puede traducirse en pérdidas económicas y reputacionales para el negocio.

Vector de explotación

La vulnerabilidad se puede explotar mediante la inyección de scripts en campos de entrada que no están adecuadamente protegidos, permitiendo a atacantes ejecutar código JavaScript en el contexto del navegador de otros usuarios.

Mitigación recomendada

Actualizar el plugin Animation Addons for Elementor a la versión 2.6.4 o superior. Revisar los permisos de usuario y limitar el acceso a funciones críticas. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar el riesgo de XSS.

Señales de detección

Revisar los logs de acceso y errores en busca de patrones inusuales en las entradas de usuario, así como cualquier ejecución de scripts no autorizados en el frontend.

Alcance afectado

Las versiones del plugin Animation Addons for Elementor hasta 2.6.3 son vulnerables. No se han confirmado casos de explotación en versiones superiores a 2.6.4.