La vulnerabilidad CVE-2024-10091 en el plugin ElementsKit Elementor addons para WordPress permite a atacantes autenticados (nivel de contribuidor o superior) realizar Cross-Site Scripting almacenado a través del Widget de Comparación de Imágenes.
El plugin ElementsKit Elementor addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del Widget de Comparación de Imágenes en todas las versiones hasta, e incluyendo, la 3.2.9 debido a una insuficiente sanitización de entrada y escape de salida en atributos suministrados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin ElementsKit Elementor addons a la versión más reciente disponible y mantener todos los plugins y temas de WordPress actualizados para reducir el riesgo de ataques de Cross-Site Scripting.