Page Builder by SiteOrigin <= 2.34.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via panels_data Parameter en Siteorigin Panels (Cross-Site Scripting (XSS)) - version 2.34.4

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Page Builder by SiteOrigin, que afecta a versiones hasta la 2.34.3. Este fallo permite a usuarios autenticados con rol de contribuyente insertar scripts maliciosos, comprometiendo la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se encuentra en el parámetro 'panels_data', que puede ser manipulado por usuarios autenticados con permisos de contribuyente o superiores. Esto permite la inyección de código JavaScript, lo que puede llevar a ataques de XSS.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el contexto del navegador de otros usuarios, lo que podría resultar en el robo de información sensible o la manipulación de contenido en el sitio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes maliciosas con datos manipulados a través del parámetro 'panels_data', lo que desencadena la ejecución de scripts no autorizados.

Mitigación recomendada

Actualizar el plugin Page Builder by SiteOrigin a la versión 2.34.4 o superior. Revisar los permisos de usuario y restringir el acceso a roles no confiables. Implementar medidas de seguridad adicionales, como la validación de entrada y el uso de Content Security Policy (CSP).

Señales de detección

Señales a observar incluyen entradas inusuales en los logs de acceso que contengan código JavaScript en el parámetro 'panels_data' y cambios inesperados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.34.4 del plugin Page Builder by SiteOrigin. No se han confirmado otros escenarios de explotación fuera de este contexto.