WPZOOM Addons for Elementor – Starter Templates & Widgets <= 1.3.4 - Unauthenticated Reflected Cross-Site Scripting via 'title_tag' Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WPZOOM Addons for Elementor, que afecta a las versiones hasta la 1.3.4. Esta falla permite la ejecución de scripts maliciosos sin necesidad de autenticación.

Contexto técnico

La vulnerabilidad se origina en el parámetro 'title_tag', que no valida adecuadamente las entradas del usuario, permitiendo así la inyección de código JavaScript. Esto se traduce en un riesgo de ejecución de scripts en el contexto del navegador de la víctima.

Impacto potencial

El impacto potencial incluye el robo de información sensible, la manipulación de la sesión del usuario y la posible redirección a sitios maliciosos. Esto puede afectar la confianza del usuario y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando una solicitud maliciosa que incluya un script en el parámetro 'title_tag', lo que provoca que el script se ejecute en el navegador de la víctima sin necesidad de autenticación.

Mitigación recomendada

Actualizar el plugin WPZOOM Addons for Elementor a la versión 1.3.5 o superior. Además, se recomienda implementar medidas de validación y sanitización de entradas en todos los parámetros que aceptan datos del usuario.

Señales de detección

Señales de riesgo incluyen la detección de solicitudes que contienen scripts en el parámetro 'title_tag' y comportamientos inusuales en el navegador de los usuarios, como redirecciones inesperadas.

Alcance afectado

Las versiones del plugin WPZOOM Addons for Elementor hasta la 1.3.4 son vulnerables, por lo que todas las instalaciones que utilicen estas versiones están en riesgo.