La vulnerabilidad de Cross-Site Scripting almacenado en el plugin Testimonial Carousel For Elementor para WordPress permite a atacantes autenticados con permisos de contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página comprometida.
El plugin Testimonial Carousel For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los valores de URL de los widgets de carrusel del plugin en todas las versiones hasta, e incluyendo, la 10.2.1 debido a una sanitización insuficiente de la entrada y un escape de salida en los atributos proporcionados por el usuario. Esto permite a los atacantes autenticados con permisos de contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Testimonial Carousel For Elementor a la versión más reciente disponible y seguir las mejores prácticas de seguridad, como limitar los permisos de los usuarios y sanitizar adecuadamente la entrada de datos.