La vulnerabilidad CVE-2024-10308 en el plugin Jeg Elementor Kit para WordPress permite a atacantes autenticados con nivel de acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
La vulnerabilidad de Cross-Site Scripting almacenado se produce debido a una sanitización insuficiente de la entrada de usuario y la falta de escape de salida en los atributos suministrados por el usuario en el widget JKit – Contador del plugin Jeg Elementor Kit. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin una vez que se publique una corrección. Además, se sugiere a los usuarios limitar el acceso de los contribuidores y roles superiores a las funciones que involucran la inserción de scripts en las páginas.
Es fundamental que los usuarios de Jeg Elementor Kit estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios web, como actualizar el plugin y restringir el acceso de los contribuidores a las funciones sensibles.