El complemento Elementor Website Builder – Más que un creador de páginas para WordPress es vulnerable a XSS almacenado a través del parámetro $instance[alt] en la función get_image_alt en todas las versiones hasta, e incluyendo, 3.18.3 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados con acceso de colaborador o superior inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar exitosamente a un usuario para que realice una acción, como hacer clic en un enlace.
La vulnerabilidad de XSS almacenado en Elementor Website Builder permite a los atacantes autenticados con privilegios de colaborador o superiores inyectar código JavaScript malicioso en las páginas del sitio web. Esto puede llevar a la ejecución de scripts arbitrarios en el navegador de los usuarios que acceden a estas páginas comprometidas. Los usuarios afectados deben actualizar a la última versión del complemento (3.18.4 o superior) tan pronto como esté disponible para corregir esta vulnerabilidad. Además, se recomienda a los usuarios seguir las mejores prácticas de seguridad, como limitar los privilegios de usuario y estar atentos a los enlaces y archivos sospechosos.
La vulnerabilidad de XSS almacenado en Elementor Website Builder representa un riesgo significativo para los sitios web que utilizan este complemento. Los usuarios deben tomar medidas inmediatas para garantizar que sus instalaciones estén actualizadas a la última versión disponible. Además, se recomienda mantener un enfoque proactivo en la seguridad del sitio web, implementando las mejores prácticas y educando a los usuarios sobre posibles amenazas, como hacer clic en enlaces desconocidos o archivos sospechosos.