El plugin Elements Plus! para WordPress es vulnerable a Cross-Site Scripting almacenado a través de múltiples URL de enlaces de widgets en todas las versiones hasta, e incluyendo, la 2.16.2 debido a una insuficiente saneamiento de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel de contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios del plugin Elements Plus! actualizar a la última versión disponible que incluya la corrección de esta vulnerabilidad. Además, es importante validar y sanitizar correctamente todas las entradas de usuario antes de mostrarlas en la página para evitar la ejecución de scripts maliciosos.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para prevenir posibles vulnerabilidades de seguridad. Con medidas adecuadas de saneamiento de entrada y escape de salida, se puede reducir significativamente el riesgo de ataques de Cross-Site Scripting en el sitio web.