ElementsKit Elementor Addons <= 3.8.2 - Missing Authorization to Unauthenticated Widget Content Overwrite en Elementskit Lite (falta de autorizacion) - version 3.9.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin ElementsKit Elementor Addons que permite a usuarios no autenticados sobreescribir contenido de widgets. Este fallo puede comprometer la integridad del sitio web y su contenido, afectando su operativa y reputación.

Contexto técnico

La vulnerabilidad se manifiesta a través de un fallo de autorización que permite la modificación de contenido en widgets sin que el usuario esté autenticado. Esto expone el sitio a cambios no autorizados en su presentación y funcionalidad.

Impacto potencial

El impacto en la seguridad del negocio puede ser significativo, ya que la sobreescritura de contenido puede llevar a desinformación o a la alteración de la experiencia del usuario, afectando la confianza y la reputación del sitio web.

Vector de explotación

Un atacante puede explotar esta vulnerabilidad enviando peticiones maliciosas que no requieren autenticación, lo que facilita la manipulación del contenido del sitio.

Mitigación recomendada

Actualizar el plugin ElementsKit Elementor Addons a la versión 3.9.0 o superior. Revisar los permisos de usuario y asegurar que solo usuarios autenticados puedan modificar contenido. Realizar auditorías periódicas de seguridad para identificar configuraciones inseguras.

Señales de detección

Revisar los logs de acceso para detectar peticiones inusuales a endpoints de widgets, especialmente aquellas que no provienen de usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las versiones de ElementsKit Elementor Addons hasta la 3.8.2. La versión 3.9.0 y posteriores corrigen esta vulnerabilidad.