La vulnerabilidad CVE-2024-5347 en el plugin Happy Addons para Elementor permite a atacantes autenticados con nivel de acceso de contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cuando un usuario acceda a una página comprometida.
La causa de esta vulnerabilidad radica en la insuficiente sanitización de la entrada y escape de la salida en los atributos suministrados por los usuarios dentro del widget de Navegación de Publicaciones. Como solución, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la versión 3.10.10. Además, se aconseja a los administradores del sitio restringir el acceso a roles de contribuidor y mayor únicamente a usuarios de confianza.
Es crucial que los usuarios de WordPress mantengan sus plugins actualizados y sigan buenas prácticas de seguridad, como limitar el acceso a roles con privilegios elevados y realizar pruebas de seguridad periódicas en sus sitios web.