Xpro Addons <= 1.7.2 - Authenticated (Author+) Stored Cross-Site Scripting via 'custom_attributes' Parameter of Multiple Widgets en Xpro Elementor Addons (Cross-Site Scripting (XSS)) - version 1.7.3

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Xpro Addons hasta la versión 1.7.2. Esta falla permite a usuarios autenticados inyectar scripts maliciosos, lo que puede comprometer la seguridad del sitio y la integridad de los datos.

Contexto técnico

La vulnerabilidad se encuentra en el parámetro 'custom_attributes' de varios widgets del plugin. Un atacante autenticado puede manipular este parámetro para inyectar código JavaScript, afectando así a otros usuarios que interactúan con el contenido afectado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la ejecución de scripts en el contexto del navegador de otros usuarios autenticados, lo que puede llevar al robo de información sensible o la manipulación de la sesión del usuario.

Vector de explotación

La explotación se realiza a través de la modificación del parámetro 'custom_attributes' en widgets específicos, lo que requiere que el atacante esté autenticado como autor o con un rol superior.

Mitigación recomendada

Actualizar el plugin Xpro Addons a la versión 1.7.3 o superior para cerrar la vulnerabilidad. Revisar y limpiar cualquier entrada de datos que pueda haber sido afectada por la inyección de scripts. Implementar medidas de seguridad adicionales como Content Security Policy (CSP) para mitigar futuros ataques XSS.

Señales de detección

Monitorizar los logs de acceso en busca de patrones inusuales en las solicitudes que modifiquen el parámetro 'custom_attributes' en widgets, así como revisar cambios no autorizados en el contenido del sitio.

Alcance afectado

Las versiones afectadas del plugin Xpro Addons son todas las anteriores a la 1.7.3. No se han confirmado casos de explotación en otras versiones o plugins relacionados.