El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘url’ del widget Icon en todas las versiones hasta, e incluyendo, la 3.25.7 debido a una insuficiente sanitización de la entrada y escapado de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario accede a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Elementor Website Builder a la última versión disponible, en este caso, la 3.25.8 o posterior. Además, se aconseja a los administradores del sitio mantener un monitoreo constante de la actividad del plugin y de las páginas afectadas para detectar cualquier comportamiento inusual que pueda indicar una posible explotación.
La seguridad en WordPress es fundamental para proteger la integridad de los sitios web. Es importante tomar medidas proactivas para mitigar riesgos y mantenerse actualizado con las últimas versiones de los plugins para evitar vulnerabilidades conocidas como esta. Mantener un entorno seguro y actualizado es clave para preservar la seguridad en línea.