El plugin Elementor Website Builder Pro para WordPress es vulnerable a XSS almacenado a través del atributo video_html_tag en todas las versiones hasta, e incluyendo, 3.20.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Elementor Website Builder Pro a la última versión disponible lo antes posible. Además, se recomienda a los administradores del sitio web restringir los privilegios de los usuarios y revisar y filtrar cuidadosamente cualquier contenido generado por los usuarios para prevenir posibles ataques de XSS almacenado.
La importancia de mantener actualizados los plugins y de implementar buenas prácticas de seguridad en la gestión de usuarios y contenido en WordPress es fundamental para proteger los sitios web contra vulnerabilidades conocidas como XSS almacenado.