El plugin Blogmentor – Diseños de Blog para Elementor para WordPress es vulnerable a Stored Cross-Site Scripting a través del parámetro ‘pagination_style’ en todas las versiones hasta, e incluyendo, la 1.5 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite que atacantes autenticados, con acceso de nivel contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-4623 en el plugin Blogmentor – Diseños de Blog para Elementor para WordPress permite a atacantes autenticados comprometer la seguridad del sitio web al inyectar código malicioso a través del parámetro pagination_style. Para mitigar este riesgo, los usuarios deben actualizar el plugin a la versión más reciente, la 1.6, que incluye parches de seguridad para prevenir este tipo de ataques. Asimismo, se recomienda a los administradores limitar los permisos de los usuarios para reducir la superficie de ataque y realizar auditorías de seguridad periódicas para detectar posibles vulnerabilidades en el sistema.
Es crucial que los propietarios de sitios web que utilizan el plugin Blogmentor – Diseños de Blog para Elementor para WordPress estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios. La actualización del plugin y la implementación de buenas prácticas de seguridad son pasos fundamentales para prevenir posibles ataques de Cross-Site Scripting almacenado en sus sitios web.