El plugin Awesome Contact Form7 for Elementor para WordPress es vulnerable a XSS almacenado a través del widget ‘AEP Contact Form 7’ en todas las versiones hasta, e incluyendo, 2.9 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por los usuarios.
Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a la página inyectada.
Se recomienda a los usuarios actualizar el plugin Awesome Contact Form7 for Elementor a la última versión disponible para corregir esta vulnerabilidad. Además, se recomienda mantener siempre todos los plugins y temas actualizados, así como seguir las mejores prácticas de seguridad en WordPress para reducir el riesgo de ataques XSS almacenados.