Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad del tipo DOM-based Reflected Cross-Site Scripting (XSS) que afecta al plugin Elementor Website Builder de WordPress, que permitiría a un atacante realizar ejecución de código JavaScript en el sistema afectado.
La vulnerabilidad identificada como CVE-2022-29455 de severidad crítica. Esta se debe a una falla en la comprobación de código del parámetro “type=video” específicamente dentro del parámetro «videoParams» en el complemento Elementor Website Builder de WordPress.
Actualmente para esta vulnerabilidad, existen PoC publicados en internet.
La explotación exitosa de la misma permitiría a un atacante realizar las siguientes acciones:
- Ejecución de código JavaScript.
- Captura de cookies.
- SOAP Bypass.
- CORS Bypass.
- Defacement.
Información adicional: