La vulnerabilidad CVE-2024-7144 afecta al plugin JetElements para WordPress y permite a atacantes autenticados con nivel Contributor o superior inyectar scripts web maliciosos en páginas.
El plugin JetElements para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘id’ y ‘slide_id’ en todas las versiones hasta, e incluyendo, la versión 2.6.20 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel Contributor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin JetElements y monitorear constantemente la aparición de posibles scripts maliciosos en sus páginas.