WPBakery Page Builder Addons by Livemesh <= 3.9.4 - Missing Authorization to Authenticated (Subscriber+) Stored Cross-Site Scripting en Addons FOR Visual Composer (Cross-Site Scripting (XSS))

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS en el plugin WPBakery Page Builder Addons, que permite a usuarios autenticados (suscriptores y superiores) inyectar scripts maliciosos. Esta falla puede comprometer la seguridad del sitio y afectar la integridad de los datos.

Contexto técnico

El fallo se origina en la falta de autorización adecuada para usuarios autenticados, permitiendo que suscriptores y roles superiores ejecuten código JavaScript no autorizado. Esto se manifiesta a través de entradas que no son debidamente sanitizadas en el sistema.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la ejecución de scripts maliciosos, lo que puede resultar en el robo de información sensible o la manipulación del contenido del sitio. Esto podría dañar la reputación del negocio y afectar la confianza de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando datos manipulados a través de formularios o interfaces de usuario del plugin, que luego se ejecutan en el navegador de otros usuarios.

Mitigación recomendada

Actualizar el plugin WPBakery Page Builder Addons a la versión 3.9.4 o superior. Revisar y ajustar los permisos de usuario para limitar el acceso a funciones críticas. Implementar medidas de seguridad adicionales como la validación y sanitización de entradas.

Señales de detección

Monitorear los logs de acceso y errores en busca de patrones inusuales que indiquen intentos de inyección de scripts. Revisar configuraciones de usuario y permisos para detectar cambios no autorizados.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin WPBakery Page Builder Addons hasta la 3.9.4. No se han confirmado casos en versiones posteriores.