El plugin Elementor Addon Elements para WordPress es vulnerable a XSS almacenado a través de widgets en todas las versiones hasta, e incluyendo, la 1.13.2 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-2792 en el plugin Elementor Addon Elements permite a un atacante autenticado realizar un ataque XSS almacenado a través de los widgets ‘Separador de texto’ y ‘Comparación de imágenes’. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin disponible, en este caso, la versión 1.13.3 que corrige esta vulnerabilidad. Además, se sugiere no confiar únicamente en la detección automática de XSS en la plataforma, sino también realizar una revisión manual del código para identificar posibles vulnerabilidades.
Es crucial que los usuarios de Elementor Addon Elements actúen de inmediato para proteger sus sitios web contra posibles ataques de XSS almacenado. Mantener el plugin actualizado y realizar análisis de seguridad periódicos son medidas esenciales para garantizar la integridad y seguridad de un sitio web basado en WordPress.