El complemento Premium Addons for Elementor para WordPress es vulnerable a Scripting entre sitios almacenado (Cross-Site Scripting) a través de la funcionalidad onClick del complemento en todas las versiones hasta la 4.10.18. Esto se debe a una insuficiente sanitización de la entrada y escape de salida en los eventos proporcionados por el usuario. Esto permite que atacantes autenticados con permisos de contribuidor o superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad de Scripting entre sitios almacenado (Cross-Site Scripting) permite a los atacantes inyectar y ejecutar código malicioso en sitios web afectados. En este caso, el complemento Premium Addons for Elementor permite a los atacantes autenticados con privilegios de contribuidor o superiores inyectar scripts arbitrarios mediante la funcionalidad onClick.
Para subsanar este problema, se recomienda actualizar el complemento a la última versión disponible que solucione esta vulnerabilidad. También se aconseja limitar los privilegios de los usuarios en el sitio web, asegurándose de que los contribuidores y otros roles no puedan acceder a la funcionalidad vulnerable del complemento. Además, es importante implementar prácticas de seguridad adicionales, como utilizar un firewall de aplicaciones web y auditar regularmente el sitio en busca de posibles vulnerabilidades.
La vulnerabilidad de Scripting entre sitios almacenado en el complemento Premium Addons for Elementor puede permitir a los atacantes autenticados realizar acciones maliciosas en un sitio web. Es importante que los usuarios actualicen rápidamente el complemento a la última versión disponible y sigan las mejores prácticas de seguridad para evitar la explotación de esta vulnerabilidad. Mantener los privilegios de los usuarios restringidos y utilizar herramientas adicionales de seguridad ayudará a proteger el sitio web contra posibles ataques.