La vulnerabilidad de Cross-Site Scripting almacenado en el plugin DethemeKit For Elementor para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas vulnerables.
La versión 2.1.4 y anteriores del plugin DethemeKit For Elementor para WordPress son vulnerables a Cross-Site Scripting almacenado, específicamente a través del atributo ‘slitems’ dentro del widget De Producto Tab & Slide del plugin. Esto se debe a una insuficiente sanitización de inputs y escape de outputs en los atributos proporcionados por los usuarios. Como resultado, los atacantes autenticados con nivel de acceso de contributor o superior pueden inyectar scripts web arbitrarios en páginas que se ejecutarán siempre que un usuario acceda a la página inyectada.
Para subsanar este problema, los usuarios deben actualizar a la versión más reciente del plugin DethemeKit For Elementor (superior a la 2.1.4) y mantenerse al tanto de las actualizaciones de seguridad. Además, se recomienda ser cauteloso al otorgar privilegios de acceso a contribuidores y revisar regularmente las configuraciones de seguridad del sitio WordPress para mitigar riesgos de ataques de este tipo.