El plugin LA-Studio Element Kit para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo LinkWrapper encontrado en varios widgets en todas las versiones hasta, e incluyendo, la 1.3.7.4 debido a una sanitización insuficiente de la entrada y escape de la salida del atributo suministrado por el usuario. Esto permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin LA-Studio Element Kit para Elementor a la última versión disponible lo antes posible para mitigar este riesgo de seguridad. Además, se recomienda evitar la utilización de contribuidores con acceso a la administración de plugins o temas para reducir la superficie de ataque.
Es fundamental estar al tanto de las vulnerabilidades en los plugins de WordPress y tomar acciones proactivas para proteger tus sitios web. Mantente actualizado con las últimas versiones de tus plugins y temas, y restringe los permisos de usuario según sea necesario para minimizar el riesgo de ataques de Cross-Site Scripting almacenado.