El plugin ElementsKit Elementor addons para WordPress es vulnerable a XSS almacenado a través de los atributos de la barra de progreso en todas las versiones hasta, e incluyendo, la 3.0.3 debido a una insuficiente sanitización de la entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de editor, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto afecta principalmente a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Los usuarios afectados por esta vulnerabilidad deben actualizar su versión de ElementsKit Elementor addons a la última versión disponible (3.0.4 o superior) para mitigar este riesgo de seguridad. Además, se recomienda a los usuarios restringir los privilegios de los usuarios en sus sitios web, evitando dar acceso de editor a usuarios no confiables. También es importante seguir buenas prácticas de seguridad, como no hacer clic en enlaces sospechosos y mantener las contraseñas seguras y actualizadas.
Es crucial que los usuarios de ElementsKit Elementor addons tomen medidas inmediatas para proteger sus sitios web de posibles ataques de XSS almacenado. Al mantenerse al día con las actualizaciones de software y siguiendo las recomendaciones de seguridad, los usuarios pueden reducir significativamente el riesgo de comprometer la seguridad de su sitio web.