El plugin Exclusive Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo URL del widget de Botón en todas las versiones hasta, e incluyendo, 2.6.9.3 debido a una insuficiente sanitización de entrada y escape de salida.
Esto permite que atacantes autenticados, con acceso de contribuidor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se debe tener precaución al interactuar con widgets de botón de plugins de terceros y se deben implementar medidas adicionales de seguridad, como la verificación de entradas de usuarios y la limitación de acceso a roles de usuario privilegiados.
Es crucial que los administradores de sitios web tomen medidas proactivas para proteger sus sitios de vulnerabilidades conocidas y desconocidas. Mantener todos los plugins y temas actualizados, realizar auditorías de seguridad periódicas y seguir las mejores prácticas de seguridad en WordPress ayudará a reducir el riesgo de explotación de vulnerabilidades como esta.