El plugin Exclusive Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Call to Action en todas las versiones hasta, e incluyendo, la 2.6.9.3 debido a una sanitización insuficiente de la entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Exclusive Addons para Elementor a la última versión disponible, en este caso, a la versión 2.6.9.4 para mitigar el riesgo de ser víctimas de un ataque de Cross-Site Scripting almacenado. Además, se recomienda a los administradores del sitio seguir buenas prácticas de seguridad, como limitar el acceso de usuario con roles de colaborador o superior y monitorear regularmente las actualizaciones de seguridad para sus plugins.
Es crucial para los propietarios de sitios web y administradores de WordPress estar al tanto de las vulnerabilidades en los plugins que utilizan, y tomar medidas proactivas para asegurar la integridad y seguridad de sus sitios. La actualización constante de plugins y la implementación de medidas de seguridad sólidas son pasos importantes para protegerse contra posibles ataques de Cross-Site Scripting y otras amenazas de seguridad.