El plugin ElementsKit Pro para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ en versiones hasta, e incluyendo, 3.6.1 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con permisos de contribuidor y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para subsanar este problema, se recomienda a los usuarios de ElementsKit Pro actualizar a la versión 3.6.2 o posterior, la cual incluye correcciones de seguridad. También es importante restringir los permisos de los usuarios del sitio web, limitando el acceso de roles con capacidad de contribuidor y superiores para reducir el riesgo de explotación de vulnerabilidades. Además, se puede implementar un firewall de aplicaciones web (WAF) para detectar y bloquear intentos de explotación de Cross-Site Scripting.
Es crucial que los administradores de sitios web tomen medidas proactivas para garantizar la seguridad de sus instalaciones de WordPress. La actualización regular de plugins y temas, la configuración adecuada de permisos de usuario y la implementación de herramientas de seguridad pueden ayudar a prevenir ataques de Cross-Site Scripting y otras vulnerabilidades comunes.