Un complemento de WordPress para el popular creador de páginas Elementor solucionó recientemente una vulnerabilidad que afectaba a más de 200.000 instalaciones. El exploit, que se encuentra en el complemento Jeg Elementor Kit, permite a atacantes autenticados cargar scripts maliciosos.

Secuencias de comandos entre sitios almacenadas (XSS almacenado)

El parche solucionó un problema que podría conducir a un exploit de secuencias de comandos almacenadas entre sitios que permite a un atacante cargar archivos maliciosos en un servidor de sitio web donde se puede activar cuando un usuario visita la página web. Esto es diferente de un XSS reflejado que requiere que se engañe a un administrador u otro usuario para que haga clic en un enlace que inicia el exploit. Ambos tipos de XSS pueden llevar a la adquisición de todo el sitio.

Sanitización insuficiente y escape de producción

Wordfence publicó un aviso que señalaba que la fuente de la vulnerabilidad se encuentra en un lapso en una práctica de seguridad conocida como desinfección, que es un estándar que requiere un complemento para filtrar lo que un usuario puede ingresar en el sitio web. Entonces, si lo que se espera es una imagen o un texto, entonces es necesario bloquear todos los demás tipos de entrada.

Otro problema que se solucionó involucró una práctica de seguridad llamada Output Escaping, que es un proceso similar al filtrado que se aplica a lo que genera el propio complemento, evitando que genere, por ejemplo, un script malicioso. Lo que hace específicamente es convertir caracteres que podrían interpretarse como código, evitando que el navegador de un usuario interprete el resultado como código y ejecute un script malicioso.

El aviso de Wordfence explica:

“El complemento Jeg Elementor Kit para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través de cargas de archivos SVG en todas las versiones hasta la 2.6.7 inclusive debido a una limpieza de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG”.

Amenaza de nivel medio

La vulnerabilidad recibió una puntuación de amenaza de nivel medio de 6,4 en una escala del 1 al 10. Se recomienda a los usuarios actualizar a la versión 2.6.8 de Jeg Elementor Kit (o superior, si está disponible).

Lea el aviso de Wordfence:

Jeg Elementor Kit <= 2.6.7: secuencias de comandos entre sitios almacenadas autenticadas (autor+) a través de un archivo SVG

Imagen destacada de Shutterstock/Cast Of Thousands