La vulnerabilidad CVE-2024-11230 en el plugin Elementor Header & Footer Builder para WordPress permite a atacantes autenticados con nivel de acceso de Contribuidor o superior, inyectar scripts web arbitrarios en las páginas, los cuales se ejecutarán cuando un usuario acceda a una página comprometida.
El plugin Elementor Header & Footer Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘size’ en todas las versiones hasta, e incluyendo, la 1.6.46 debido a una sanitización insuficiente de la entrada y al escape insuficiente de la salida. Esto proporciona una forma para que los atacantes autenticados con nivel de acceso de Contribuidor o superior, inyecten scripts web arbitrarios en las páginas que se ejecutarán cuando un usuario acceda a una página comprometida.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Elementor Header & Footer Builder a la última versión disponible, la cual corrige este problema de seguridad. Además, se recomienda a los administradores monitorear de cerca cualquier actividad sospechosa en sus sitios web y restringir el acceso a los roles de usuario apropiados para limitar el impacto de posibles ataques.