La vulnerabilidad CVE-2024-4669 afecta al plugin Events Addon for Elementor en WordPress y permite a atacantes autenticados realizar Cross-Site Scripting a través de los widgets Basic Slider, Upcoming Events, y Schedule en versiones anteriores a 2.1.4.
La falta de sanitización de entrada y escape de salida en atributos proporcionados por el usuario hace posible que atacantes autenticados con nivel de acceso de contributor o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Events Addon for Elementor a la última versión disponible y estar atentos a futuras actualizaciones de seguridad. Además, es importante no confiar en la entrada de datos de usuarios no confiables y validar adecuadamente la información antes de mostrarla en la página.