La vulnerabilidad CVE-2024-5173 afecta al plugin HT Mega – Absolute Addons For Elementor para WordPress, permitiendo a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas a través de la configuración del widget del reproductor de video.
Esta vulnerabilidad de Cross-Site Scripting almacenado se produce debido a una sanitización insuficiente de la entrada y escape de salida en los atributos proporcionados por el usuario. Esto permite a un atacante con acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin HT Mega – Absolute Addons For Elementor a la última versión disponible y revisar de forma regular las páginas afectadas en busca de contenido malicioso. Además, se debe ser prudente al otorgar privilegios de usuario dentro de WordPress para minimizar el impacto de posibles ataques de este tipo.