Se ha descubierto una vulnerabilidad de Cross-Site Scripting Almacenada en el plugin Qi Addons For Elementor para WordPress en todas las versiones hasta la 1.7.2. Esta vulnerabilidad permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a dicha página.
La vulnerabilidad se debe a una falta de sanitización de entrada y escape de salida en los atributos suministrados por el usuario en los widgets de botón del plugin. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión disponible del plugin tan pronto como sea posible. Además, se sugiere evitar otorgar permisos de contribuidor o superior a usuarios no confiables para reducir el riesgo de ataques.
Es fundamental que los administradores de sitios web tomen medidas proactivas para proteger sus sitios de posibles ataques de Cross-Site Scripting. Mantener todos los plugins y temas actualizados, así como limitar los privilegios de los usuarios, son pasos clave para garantizar la seguridad de un sitio WordPress.