El plugin Global Elementor Buttons para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL del enlace del botón en todas las versiones hasta, e incluyendo, la 1.1.0 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados con permisos de contribuidor y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin Global Elementor Buttons a la última versión disponible que soluciona este problema. Además, se recomienda implementar medidas para restringir el acceso a roles de usuario con permisos de contribuidor y superiores, así como vigilar de cerca la inserción de enlaces de botones para detectar posibles scripts maliciosos.
Es fundamental que los administradores de WordPress estén al tanto de las vulnerabilidades en plugins populares como Global Elementor Buttons y tomen medidas proactivas para proteger sus sitios web y usuarios. La seguridad debe ser una prioridad en todo momento para evitar posibles ataques y compromisos de la integridad de la información.