El plugin Qi Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los widgets del plugin en todas las versiones hasta, e incluyendo, la 1.6.7 debido a una sanitización insuficiente de la entrada y escape de la salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados con permisos de nivel contribuidor y superiores inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La falta de sanitización de la entrada y escape de salida en los atributos proporcionados por el usuario en el plugin Qi Addons For Elementor hasta la versión 1.6.7 puede permitir a un atacante autenticado con un nivel de permiso de contribuidor o superior inyectar scripts maliciosos en las páginas del sitio web afectado. Esto podría ser utilizado para realizar ataques como robo de cookies de sesión, redirección a sitios maliciosos o alteración del contenido de la página para engañar a los visitantes del sitio.
Para mitigar la vulnerabilidad de Cross-Site Scripting almacenado en el plugin Qi Addons For Elementor <= 1.6.7, se recomienda a los usuarios actualizar a la versión más reciente del plugin tan pronto como esté disponible. Además, se deben seguir las mejores prácticas de seguridad web como la validación y filtrado adecuado de la entrada de usuario, así como el escape de salida al mostrar datos en las páginas del sitio web.