El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de las Configuraciones de Tipografía en todas las versiones hasta, e incluyendo, 3.25.9 debido a la insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
El Cross-Site Scripting almacenado es una vulnerabilidad de seguridad que permite a los atacantes ejecutar scripts maliciosos en páginas web de forma persistente. En el caso de Elementor Website Builder, esta vulnerabilidad específica se encuentra en las Configuraciones de Tipografía del plugin. Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin (superior a 3.25.9) donde se hayan implementado medidas de seguridad más estrictas en la sanitización de entrada y escape de salida de los atributos proporcionados por el usuario.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas. Además, se debe tener cuidado al otorgar privilegios de usuario para limitar el acceso a funciones sensibles y prevenir posibles ataques. La seguridad de un sitio web es responsabilidad de todos los que lo administran, por lo que es importante estar siempre alerta y tomar medidas proactivas para mitigar riesgos de seguridad.