El plugin Elementor Website Builder – Más que un Constructor de Páginas para WordPress es vulnerable a XSS Almacenado a través del widget de Navegación de Publicaciones del plugin en todas las versiones hasta, e incluyendo, la 3.20.1 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario.
Esto permite a atacantes autenticados con permisos de nivel de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Los usuarios deben actualizar urgentemente a la última versión del plugin Elementor Website Builder para mitigar este riesgo de seguridad. Además, se recomienda a los usuarios evitar la inserción de código no seguro en las páginas del sitio y realizar auditorías regulares de seguridad para detectar posibles vulnerabilidades.
Es fundamental para los usuarios de Elementor Website Builder estar al tanto de estas vulnerabilidades y tomar medidas proactivas para proteger sus sitios web contra posibles ataques de XSS.