Master Addons For Elementor <= 3.1.0 - Authenticated (Author+) Stored Cross-Site Scripting via 'jtlma_custom_js' Page Setting (Custom JS Extension) (Cross-Site Scripting (XSS)) - version 3.1.1

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo XSS almacenado en el plugin Master Addons para Elementor, que afecta a versiones hasta la 3.1.0. Esta falla puede ser explotada por usuarios autenticados, comprometiendo la seguridad del sitio y la integridad de los datos.

Contexto técnico

El fallo se presenta a través de la configuración de la página 'jtlma_custom_js', permitiendo la inyección de código JavaScript malicioso. La exposición se da en entornos donde el plugin está activo y los usuarios tienen permisos de autor o superiores.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar al robo de información sensible, manipulación de contenido y afectaciones a la reputación del sitio. Esto puede resultar en pérdidas financieras y de confianza por parte de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando scripts maliciosos a través de la configuración de JavaScript personalizada, que luego se ejecutan en el navegador de otros usuarios autenticados.

Mitigación recomendada

Actualizar el plugin Master Addons para Elementor a la versión 3.1.1 o superior. Revisar las configuraciones de JavaScript personalizadas para eliminar cualquier código sospechoso. Implementar medidas de seguridad adicionales, como la validación de entrada y la sanitización de datos.

Señales de detección

Señales de alerta incluyen registros de actividad inusual en la configuración de 'jtlma_custom_js' y la aparición de scripts no autorizados en el frontend del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones de Master Addons para Elementor hasta la 3.1.0. No se han confirmado casos en versiones posteriores a la 3.1.1.