El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a XSS almacenado a través del parámetro de url de múltiples widgets en todas las versiones hasta, e incluyendo, la 3.23.4 debido a una sanitización insuficiente de la entrada y escapado de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en las páginas del Editor de Elementor. Esto fue parcialmente solucionado en la versión 3.23.2.
Para subsanar este problema, se recomienda a los usuarios actualizar su plugin Elementor Website Builder a la última versión disponible, en este caso, la 3.23.4. Además, se aconseja a los administradores de sitios web WordPress limitar el acceso de los contribuidores y roles superiores para reducir el riesgo de ataques de XSS almacenado. Es importante también validar y sanitizar adecuadamente todas las entradas de usuario antes de mostrarlas en la página.
Es fundamental mantener todos los plugins y temas actualizados en un sitio web WordPress y seguir las mejores prácticas de seguridad para protegerse contra posibles vulnerabilidades como el XSS almacenado en Elementor Website Builder. La seguridad de un sitio web es una responsabilidad compartida entre los desarrolladores de plugins, los administradores del sitio y los propios usuarios finales.