En este informe de seguridad, se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada autenticada en el plugin Royal Elementor Addons and Templates para WordPress, en versiones hasta y incluyendo la 1.3.87. Esta vulnerabilidad permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página inyectada.
La vulnerabilidad radica en la falta de sanitización de las entradas y escape de las salidas, lo que permite a un atacante enviar parámetros URL de elementos maliciosos. Al no realizar una adecuada limpieza de estos valores, la aplicación no neutraliza correctamente los caracteres peligrosos, permitiendo la ejecución de código JavaScript arbitrario.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin, en la cual se han corregido estos problemas de seguridad. Además, es fundamental seguir buenas prácticas de seguridad, como limitar los permisos de los usuarios autenticados y realizar una adecuada validación y sanitización de las entradas del usuario.
Si se sospecha que el sitio ha sido comprometido, es necesario revisar y limpiar todas las páginas y elementos afectados, eliminando cualquier código malicioso inyectado.
La vulnerabilidad de Cross-Site Scripting almacenada autenticada en el plugin Royal Elementor Addons and Templates para WordPress, hasta la versión 1.3.87, representa un riesgo significativo para la seguridad de los sitios web que lo utilizan. La actualización del plugin a la última versión disponible y la implementación de buenas prácticas de seguridad son acciones fundamentales para protegerse contra posibles ataques. Además, se recomienda a los usuarios revisar el sitio en busca de páginas comprometidas y eliminar cualquier código malicioso inyectado.