El plugin Enter Addons – Ultimate Template Builder for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘tag’ del widget Events Card en todas las versiones hasta, e incluyendo, la 2.1.8 debido a una sanitización insuficiente de la entrada y escape de salida en los atributos proporcionados por los usuarios.
Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Enter Addons – Ultimate Template Builder for Elementor y mantener siempre actualizados todos los plugins y temas de WordPress para reducir el riesgo de vulnerabilidades de seguridad.