El plugin de WordPress Void Contact Form 7 Widget For Elementor Page Builder es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘cf7_redirect_page’ dentro del widget Void Contact From 7 en todas las versiones hasta, e incluyendo, la 2.4. Esto se debe a una insuficiente sanitización de entradas y escape de salida en atributos suministrados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se aconseja a los administradores del sitio web implementar prácticas de seguridad adicionales, como limitar el acceso de los roles a funciones que no sean estrictamente necesarias y realizar un escaneo regular en busca de posibles amenazas.
Es crucial mantener actualizados todos los plugins y temas de WordPress para mitigar el riesgo de vulnerabilidades de seguridad. La prevención y la vigilancia activa son clave para proteger un sitio web de posibles ataques cibernéticos.