El plugin JetWidgets For Elementor para WordPress es vulnerable a XSS almacenado a través del URL del botón del widget en todas las versiones hasta, e incluyendo, la 1.0.16 debido a una insuficiente sanitización de entrada y escapado de salida en atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin JetWidgets For Elementor a la última versión disponible lo antes posible para mitigar el riesgo de un ataque XSS almacenado. Además, se recomienda a los usuarios revisar regularmente sus sitios web en busca de contenido no deseado en forma de scripts no autorizados que puedan haber sido inyectados.
Es crucial que los administradores de sitios WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios y usuarios. Mantener todos los plugins y temas actualizados, así como realizar auditorías de seguridad periódicas, son pasos fundamentales para garantizar la seguridad en línea.