El plugin HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a XSS Almacenado a través de los atributos del widget de Cuadrícula de Imágenes en todas las versiones hasta, e incluyendo, la 2.4.9 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
El CVE asignado a esta vulnerabilidad es CVE-2024-3308. Este tipo de ataque, conocido como XSS Almacenado, puede ser peligroso ya que permite a un atacante perpetrar acciones maliciosas en nombre del usuario autenticado. Para subsanar esta vulnerabilidad, los usuarios afectados por esta versión del plugin deben actualizarlo a una versión posterior que haya corregido este problema. También se recomienda a los administradores de sitios web que limiten el acceso de los roles de los contribuidores y superiores para reducir el riesgo de un posible ataque.
Es fundamental para la seguridad de un sitio web mantener todos los plugins y temas actualizados, además de seguir buenas prácticas de seguridad como limitar los privilegios de los usuarios. La prevención es clave para evitar futuras vulnerabilidades y proteger la integridad de la información del sitio.