Una vulnerabilidad de los complementos de WordPress Elementor afecta a 400.000 sitios

wordpress 6.2.1 la lia shortcodes
Vulnerabilidad en Happy Addons for Elementor afecta a 400.000 sitios de WordPress

Una reciente vulnerabilidad en el plugin Happy Addons for Elementor de WordPress podría estar afectando a más de 400.000 sitios web, permitiendo a atacantes subir scripts maliciosos que comprometen la seguridad de las páginas.

Wordfence advierte sobre vulnerabilidad en Happy Addons for Elementor

Según informes de la empresa de seguridad Wordfence, se ha detectado una vulnerabilidad en el popular plugin Happy Addons for Elementor, utilizado en más de 400.000 sitios de WordPress. Este fallo de seguridad podría permitir a atacantes subir scripts maliciosos que se ejecutan cuando los navegadores visitan las páginas afectadas.

La vulnerabilidad, conocida como Cross-Site Scripting almacenado (Stored XSS), fue parcheada recientemente por los desarrolladores del plugin. Sin embargo, muchos sitios podrían seguir en riesgo si no actualizan a la versión más reciente.

¿Qué es Happy Addons for Elementor?

Happy Addons for Elementor es un plugin que extiende las funcionalidades del constructor de páginas Elementor, ofreciendo decenas de widgets gratuitos y características como galerías de imágenes, funciones de reseñas y feedback de usuarios, y menús de navegación personalizados.

La versión de pago del plugin ofrece aún más funcionalidades de diseño, facilitando la creación de sitios web de WordPress funcionales y atractivos. Su popularidad lo ha convertido en una herramienta esencial para muchos desarrolladores y diseñadores web.

Entendiendo la vulnerabilidad de Cross-Site Scripting almacenado

El Cross-Site Scripting almacenado (Stored XSS) es una vulnerabilidad que ocurre cuando un tema o plugin no filtra adecuadamente las entradas del usuario, permitiendo que scripts maliciosos se suban a la base de datos y se almacenen en el servidor.

Cuando un usuario visita el sitio web afectado, el script se descarga en su navegador y puede ejecutar acciones como robar cookies o redirigir al usuario a sitios maliciosos. En este caso, la vulnerabilidad requiere que el atacante tenga permisos de nivel de Contribuidor, lo que dificulta su explotación pero no la elimina por completo.

Gravedad y alcance de la vulnerabilidad

Wordfence ha calificado la vulnerabilidad con un 6.4 en una escala de 1 a 10, considerándola una amenaza de nivel medio. Aunque requiere autenticación, el riesgo para los sitios que permiten registros de usuarios con permisos de Contribuidor es significativo.

La vulnerabilidad afecta a todas las versiones hasta la 3.12.5 inclusive. El problema radica en el parámetro before_label del widget Image Comparison, debido a una sanitización insuficiente de las entradas y una falta de escape en la salida.

Recomendaciones para los usuarios del plugin

Se recomienda encarecidamente a los usuarios de Happy Addons for Elementor que actualicen a la versión 3.12.6 o posterior, la cual contiene un parche de seguridad que corrige la vulnerabilidad.

Además, es buena práctica revisar los permisos de usuario en tu sitio de WordPress y limitar el acceso de Contribuidor solo a usuarios de confianza. Esto ayuda a minimizar los riesgos asociados con vulnerabilidades que requieren autenticación.

Conclusión

La seguridad de tu sitio web es primordial. Mantener tus plugins actualizados y estar al tanto de las últimas alertas de seguridad es clave para proteger tu página y a tus usuarios.

Si utilizas Happy Addons for Elementor, no dudes en actualizar inmediatamente y tomar las medidas necesarias para asegurar tu sitio. La prevención es la mejor defensa contra posibles ataques y brechas de seguridad.

Fuente: https://www.searchenginejournal.com/wordpress-elementor-addons-vulnerability-affects-400k-sites/532372/


También podría ser de tu interés:

Deja un comentario