El plugin Elementor Header & Footer Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo size en todas las versiones hasta, e incluyendo, la 1.6.26 debido a una sanitización insuficiente de la entrada y a la falta de escapado de la salida. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página inyectada.
La vulnerabilidad identificada con el ID CVE CVE-2024-2618 en el plugin Elementor Header & Footer Builder hasta la versión 1.6.26 permite a usuarios autenticados con permisos de colaborador o superiores insertar código malicioso en las páginas del sitio. Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible, que incluye parches de seguridad para corregir esta vulnerabilidad. Además, se aconseja a los usuarios mantener sus plugins de WordPress siempre actualizados y estar atentos a las notificaciones de seguridad para proteger sus sitios de posibles ataques de este tipo.
Es fundamental para los propietarios de sitios web que utilizan el plugin Elementor Header & Footer Builder en versiones anteriores a la 1.6.26 tomar medidas inmediatas para mitigar el riesgo de explotación de esta vulnerabilidad. Actualizar a la última versión del plugin y seguir las buenas prácticas de seguridad en WordPress ayudará a proteger el sitio y la información de los usuarios.