En este informe de seguridad, se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenada en el plugin Timeline Widget For Elementor (Elementor Timeline, Vertical & Horizontal Timeline) para WordPress. Esta vulnerabilidad permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar código JavaScript malicioso en las páginas del sitio web. A continuación, se detallan las acciones que los usuarios pueden tomar para mitigar este problema.
La vulnerabilidad reside en el widget de cronología del plugin, el cual no realiza una sanitización suficiente de los atributos proporcionados por el usuario, lo que permite la inserción de scripts web arbitrarios. Para aprovechar esta vulnerabilidad, un atacante autenticado debe acceder a una página inyectada, cambiar el tipo de presentación de diapositivas y luego volver a cambiarlo a una imagen. Esto activará la ejecución del script web malicioso cada vez que un usuario acceda a la página afectada.
Para subsanar este problema, se recomienda actualizar el plugin Timeline Widget For Elementor a la última versión disponible. Además, se debe aplicar una sanitización adecuada a los atributos proporcionados por los usuarios antes de que sean utilizados en la generación de páginas. También es importante seguir las buenas prácticas de seguridad, como limitar los niveles de acceso de los usuarios autenticados y revisar regularmente los registros del sitio web en busca de actividades sospechosas.
La vulnerabilidad de Cross-Site Scripting almacenada en el widget de cronología para Elementor es un problema de seguridad grave que puede permitir a los atacantes comprometer un sitio web y ejecutar código JavaScript malicioso en las páginas afectadas. Los usuarios deben tomar medidas inmediatas para actualizar el plugin afectado y aplicar las medidas de seguridad recomendadas para proteger sus sitios web contra esta vulnerabilidad y otros ataques similares.