La vulnerabilidad CVE-2024-2091, denominada ‘Neutralización inadecuada de la entrada durante la generación de páginas web (Cross-site Scripting)’, afecta al plugin Elementor Addon Elements para WordPress en todas las versiones hasta la 1.13.1.
El plugin es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.
Se recomienda a los usuarios actualizar el plugin Elementor Addon Elements a la última versión disponible, en este caso, a la versión 1.13.2 para mitigar el riesgo de ataques de Cross-Site Scripting almacenado. Además, se recomienda a los administradores revisar y validar el código de los widgets utilizados en sus páginas para evitar la ejecución de scripts maliciosos.