Fuente base de datos: WPScan

Elementor Website Builder < 3.16.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via get_inline_svg()

PLUGIN N/A CVE-2023-47505

Fuente base: WPScan. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Elementor Website Builder, afectando a versiones anteriores a la 3.16.5. Esta vulnerabilidad permite a usuarios autenticados con rol de contribuidor o superior inyectar scripts maliciosos en el sitio web.

Contexto técnico

La vulnerabilidad se origina en la función get_inline_svg() del plugin. Esta función no valida adecuadamente la entrada del usuario, lo que permite la inyección de código JavaScript malicioso que se ejecuta en el navegador de otros usuarios que visitan el sitio.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible, como cookies de sesión, o redirija a los usuarios a sitios maliciosos. Esto puede dañar la reputación del negocio y comprometer la seguridad de los usuarios.

Vector de explotación

Generalmente, la explotación requiere que un atacante tenga acceso como usuario autenticado con rol de contribuidor o superior. Una vez dentro, puede inyectar código malicioso a través de la funcionalidad afectada.

Mitigación recomendada

Actualizar el plugin Elementor a la versión 3.16.5 o superior. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de seguridad como la validación de entradas y la sanitización de datos.

Señales de detección

Señales de posible explotación incluyen la presencia de scripts inusuales en el contenido generado por usuarios autenticados, así como comportamientos anómalos en la interacción de los usuarios con el sitio.

Alcance afectado

Todas las versiones del plugin Elementor anteriores a la 3.16.5 están afectadas por esta vulnerabilidad.

Vulnerabilidades relacionadas

N/A PLUGIN

elementor