La vulnerabilidad CVE-2024-1521 en el plugin Elementor Website Builder Pro para WordPress permite a atacantes autenticados inyectar scripts web arbitrarios en páginas vulnerables, lo que puede comprometer la seguridad del sitio.
La versión afectada hasta 3.20.1 del plugin Elementor Website Builder Pro para WordPress es susceptible de sufrir XSS almacenado a través de la carga de archivos SVGZ mediante el widget de Formulario debido a una falta de sanitización de entradas y escape de salida. Esto posibilita que atacantes autenticados con acceso de contribuidor o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página vulnerable. Es importante destacar que esta vulnerabilidad solo es explotable en servidores web que utilizan NGINX, no en servidores que corren Apache HTTP Server.
Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin Elementor Website Builder Pro. Además, se sugiere la revisión periódica de los permisos de los usuarios para limitar el acceso a roles con capacidades más restrictivas y así reducir la superficie de ataque potencial.