{"id":3320,"date":"2024-03-26T18:45:09","date_gmt":"2024-03-26T18:45:09","guid":{"rendered":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/"},"modified":"2024-03-26T18:45:09","modified_gmt":"2024-03-26T18:45:09","slug":"elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/","title":{"rendered":"Elementor Website Builder Pro <= 3.20.1 – XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario"},"content":{"rendered":"
La vulnerabilidad CVE-2024-1521 en el plugin Elementor Website Builder Pro para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en p\u00e1ginas vulnerables, lo que puede comprometer la seguridad del sitio.<\/div>\n

<\/p>\n

La versi\u00f3n afectada hasta 3.20.1 del plugin Elementor Website Builder Pro para WordPress es susceptible de sufrir XSS almacenado a trav\u00e9s de la carga de archivos SVGZ mediante el widget de Formulario debido a una falta de sanitizaci\u00f3n de entradas y escape de salida. Esto posibilita que atacantes autenticados con acceso de contribuidor o superior inyecten scripts web arbitrarios en p\u00e1ginas que se ejecutar\u00e1n cada vez que un usuario acceda a una p\u00e1gina vulnerable. Es importante destacar que esta vulnerabilidad solo es explotable en servidores web que utilizan NGINX, no en servidores que corren Apache HTTP Server.<\/div>\n
Para mitigar este riesgo, se recomienda a los usuarios actualizar a la \u00faltima versi\u00f3n del plugin Elementor Website Builder Pro. Adem\u00e1s, se sugiere la revisi\u00f3n peri\u00f3dica de los permisos de los usuarios para limitar el acceso a roles con capacidades m\u00e1s restrictivas y as\u00ed reducir la superficie de ataque potencial.<\/div>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad CVE-2024-1521 en el plugin Elementor Website Builder Pro para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en p\u00e1ginas vulnerables, lo que puede comprometer la seguridad del sitio. La versi\u00f3n afectada hasta 3.20.1 del plugin Elementor Website Builder Pro para WordPress es susceptible de sufrir XSS almacenado a trav\u00e9s de la carga […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[1031],"class_list":["post-3320","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-1521"],"yoast_head":"\nElementor Website Builder Pro <= 3.20.1 - XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Elementor Website Builder Pro <= 3.20.1 - XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilidad CVE-2024-1521 en el plugin Elementor Website Builder Pro para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en p\u00e1ginas vulnerables, lo que puede comprometer la seguridad del sitio. La versi\u00f3n afectada hasta 3.20.1 del plugin Elementor Website Builder Pro para WordPress es susceptible de sufrir XSS almacenado a trav\u00e9s de la carga […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-03-26T18:45:09+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/\",\"url\":\"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/\",\"name\":\"Elementor Website Builder Pro <= 3.20.1 - XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-03-26T18:45:09+00:00\",\"dateModified\":\"2024-03-26T18:45:09+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Elementor Website Builder Pro <= 3.20.1 – XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Elementor Website Builder Pro <= 3.20.1 - XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/","og_locale":"en_US","og_type":"article","og_title":"Elementor Website Builder Pro <= 3.20.1 - XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario - SeguridadWordPress.es","og_description":"La vulnerabilidad CVE-2024-1521 en el plugin Elementor Website Builder Pro para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en p\u00e1ginas vulnerables, lo que puede comprometer la seguridad del sitio. La versi\u00f3n afectada hasta 3.20.1 del plugin Elementor Website Builder Pro para WordPress es susceptible de sufrir XSS almacenado a trav\u00e9s de la carga […]","og_url":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-03-26T18:45:09+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/","url":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/","name":"Elementor Website Builder Pro <= 3.20.1 - XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-03-26T18:45:09+00:00","dateModified":"2024-03-26T18:45:09+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/elementor-website-builder-pro-3-20-1-xss-almacenado-autenticado-contribuidor-a-traves-de-la-carga-de-archivos-svgz-del-widget-de-formulario\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Elementor Website Builder Pro <= 3.20.1 – XSS almacenado autenticado (Contribuidor+) a trav\u00e9s de la carga de archivos SVGZ del Widget de Formulario"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3320"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=3320"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3320\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=3320"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=3320"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=3320"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}