La vulnerabilidad CVE-2024-5666 afecta al plugin Extensions for Elementor para WordPress, permitiendo a atacantes autenticados con nivel de acceso Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a la página comprometida.
La vulnerabilidad de Cross-Site Scripting almacenado en las Extensiones para Elementor se debe a la falta de sanitización de entradas y escapado de salida en el parámetro ‘url’ del widget EE Button en todas las versiones hasta, e incluyendo, la 2.0.30. Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se debe restringir el acceso al panel de administración solo a usuarios confiables y revisar regularmente las páginas en busca de contenido malicioso.
Es fundamental que los usuarios de Extensions for Elementor estén al tanto de esta vulnerabilidad de seguridad y tomen medidas para proteger sus sitios web. Al implementar las soluciones mencionadas, se puede reducir significativamente la exposición a posibles ataques de Cross-Site Scripting almacenado.