El plugin Piotnet Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 2.4.26 debido a una sanitización insuficiente de la entrada y escapado de salida en atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Piotnet Addons For Elementor a la última versión disponible lo antes posible para mitigar el riesgo de explotación. Asimismo, se recomienda a los usuarios no otorgar privilegios de contribuidor o superiores a usuarios no confiables para limitar el impacto de posibles ataques. Además, se aconseja a los desarrolladores del plugin implementar una adecuada sanitización de entrada y escapado de salida en los atributos proporcionados por el usuario para prevenir futuras vulnerabilidades de este tipo.
Es crucial que los usuarios y desarrolladores de WordPress estén al tanto de esta vulnerabilidad en el plugin Piotnet Addons For Elementor y tomen las medidas necesarias para proteger sus sitios web. La actualización regular de plugins y la implementación de buenas prácticas de seguridad pueden contribuir significativamente a la prevención de ataques de Cross-Site Scripting y otros riesgos de seguridad.