La vulnerabilidad CVE-2024-3650 afecta al plugin ElementsKit Elementor addons para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior realizar ataques de Cross-Site Scripting almacenado a través del widget Image Accordion.
El plugin ElementsKit Elementor addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Image Accordion en todas las versiones desde la 3.0.7 hasta la 3.1.2 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite que atacantes autenticados puedan inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin ElementsKit Elementor addons a la última versión disponible, en este caso, la 3.1.3. Además, se aconseja a los administradores de sitios web WordPress mantener sus plugins y temas siempre actualizados y realizar auditorías de seguridad de forma regular para detectar posibles vulnerabilidades.