Wordfence emitió un aviso sobre una vulnerabilidad parcheada en el popular complemento Happy Addons para Elementor, instalado en más de 400.000 sitios web. La falla de seguridad podría permitir a los atacantes cargar scripts maliciosos que se ejecutan cuando los navegadores visitan las páginas afectadas.

Complementos felices para Elementor

El complemento Happy Addons para Elementor amplía el creador de páginas Elementor con docenas de widgets y funciones gratuitos como cuadrículas de imágenes, una función de comentarios y reseñas de los usuarios y menús de navegación personalizados. Una versión paga del complemento ofrece aún más funcionalidades de diseño que facilitan la creación de sitios web de WordPress funcionales y atractivos.

Secuencias de comandos entre sitios almacenadas (XSS almacenado)

El XSS almacenado es una vulnerabilidad que normalmente ocurre cuando un tema o complemento no filtra adecuadamente las entradas del usuario (lo que se denomina desinfección), lo que permite que se carguen scripts maliciosos en la base de datos y se almacenen en el servidor. Cuando un usuario visita el sitio web, el script se descarga en el navegador y ejecuta acciones como robar cookies del navegador o redirigir al usuario a un sitio web malicioso.

La vulnerabilidad XSS almacenada que afecta al complemento Happy Addons para Elementor requiere que un pirata informático adquiera permisos de nivel de colaborador (autenticación), lo que dificulta aprovechar la vulnerabilidad.

La empresa de seguridad de WordPress, Wordfence, calificó la vulnerabilidad con 6,4 en una escala del 1 al 10, un nivel de amenaza medio.

Según Wordfence:

“El complemento Happy Addons para Elementor para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del parámetro before_label en el widget de comparación de imágenes en todas las versiones hasta la 3.12.5 inclusive debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada”.

Los usuarios del complemento deberían considerar actualizar a la última versión, actualmente 3.12.6, que contiene un parche de seguridad para la vulnerabilidad.

Lea el aviso de Wordfence:

Happy Addons para Elementor <= 3.12.5 – Secuencias de comandos entre sitios almacenadas autenticadas (Contributor+) mediante comparación de imágenes

Imagen destacada de Shutterstock/Red Cristal