El plugin JetWidgets para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘layout_type’ e ‘id’ en todas las versiones hasta, e incluyendo, la 1.0.17 debido a una sanitización insuficiente de la entrada y al escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por este problema pueden mitigar el riesgo aplicando filtros de seguridad para desinfectar y escapar la entrada de los parámetros ‘layout_type’ e ‘id’ antes de guardar o mostrar contenido. También es importante mantener el plugin actualizado a la última versión disponible, ya que los desarrolladores suelen incluir parches de seguridad en las actualizaciones.
Es esencial que los administradores de sitios web WordPress estén al tanto de estas vulnerabilidades y tomen medidas proactivas para proteger sus sitios de posibles ataques de Cross-Site Scripting almacenado. Mantener los plugins actualizados y aplicar medidas de seguridad adicionales puede reducir significativamente el riesgo de explotación.