Xpro Elementor Addons - Pro <= 1.4.7 - Authenticated (Contributor+) Arbitrary File Read via Draw SVG en Xpro Elementor Addons PRO (vulnerabilidad) - version 1.4.8

Resumen ejecutivo

Se ha identificado una vulnerabilidad en Xpro Elementor Addons - Pro hasta la versión 1.4.7 que permite la lectura arbitraria de archivos por usuarios autenticados con rol de colaborador o superior. Esta brecha puede comprometer la seguridad de la información sensible en sitios web que utilizan este complemento.

Contexto técnico

La vulnerabilidad se manifiesta a través de una función que permite a los usuarios autenticados acceder a archivos del servidor, lo que representa un vector de ataque crítico si los permisos no están adecuadamente configurados.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición de datos sensibles, afectando la integridad y confidencialidad de la información en el sitio web. Esto puede resultar en daños a la reputación y posibles implicaciones legales para las organizaciones afectadas.

Vector de explotación

La explotación se realiza mediante la manipulación de solicitudes HTTP por parte de usuarios autenticados que pueden acceder a archivos no autorizados en el servidor.

Mitigación recomendada

Actualizar el complemento Xpro Elementor Addons - Pro a la versión 1.4.8 o superior para corregir la vulnerabilidad. Revisar y ajustar los permisos de usuario para limitar el acceso a funciones críticas del sitio. Implementar medidas de seguridad adicionales, como la monitorización de logs y la restricción de acceso a archivos sensibles.

Señales de detección

Revisar los registros de acceso para detectar solicitudes inusuales a archivos que no deberían ser accesibles por el rol de usuario correspondiente.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.4.8 del complemento Xpro Elementor Addons - Pro. No se han confirmado otros escenarios de explotación.