Vulnerabilidad en el plugin Elementor Website Builder de WordPress 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad del tipo DOM-based Reflected Cross-Site Scripting (XSS) que afecta al plugin Elementor Website Builder de WordPress, que permitiría a un atacante realizar ejecución de código JavaScript en el sistema afectado. 

La vulnerabilidad identificada como CVE-2022-29455 de severidad crítica. Esta se debe a una falla en la comprobación de código del parámetro “type=video” específicamente dentro del parámetro «videoParams» en el complemento Elementor Website Builder de WordPress. 

Actualmente para esta vulnerabilidad, existen PoC publicados en internet. 

La explotación exitosa de la misma permitiría a un atacante realizar las siguientes acciones: 

  • Ejecución de código JavaScript. 
  • Captura de cookies. 
  • SOAP Bypass. 
  • CORS Bypass. 
  • Defacement. 

Información adicional: 

Compartir: