El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los atributos del widget de cuenta regresiva en todas las versiones hasta, e incluyendo, la 2.4.9 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad se debe a que el plugin no filtra adecuadamente la entrada de los usuarios, lo que permite a los atacantes introducir código malicioso en los widgets de cuenta regresiva. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se han implementado medidas de seguridad adicionales. Además, se aconseja a los administradores de sitios web supervisar de cerca las actividades de los usuarios con privilegios de contribuidor o superiores para detectar posibles acciones maliciosas.
Es crucial mantener actualizados todos los plugins y temas de WordPress a sus últimas versiones para protegerse contra posibles vulnerabilidades de seguridad. Además, se recomienda a los usuarios seguir buenas prácticas de seguridad, como utilizar contraseñas sólidas y realizar copias de seguridad periódicas de sus sitios web para minimizar el impacto de posibles incidentes de seguridad.