El plugin Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado a través del parámetro ‘onclick_event’ en todas las versiones hasta, e incluyendo, 5.6.11 debido a una sanitización insuficiente de la entrada y escapado de salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, los usuarios deben actualizar el plugin Element Pack Elementor Addons a la versión 5.6.12 o superior, en la cual se han implementado correcciones de seguridad para mitigar esta vulnerabilidad. Además, se recomienda a los administradores del sitio web que limiten estrictamente los permisos de los roles de usuario, evitando otorgar acceso de Contribuidor o superior a usuarios no confiables para reducir el riesgo de explotación de vulnerabilidades XSS almacenadas.
Mantener todos los plugins y temas de WordPress actualizados es esencial para proteger tu sitio web contra posibles vulnerabilidades de seguridad. Además, es importante seguir las mejores prácticas de seguridad, como limitar los permisos de los usuarios y realizar copias de seguridad periódicas, para mantener tu sitio web seguro y protegido contra amenazas en línea.