La vulnerabilidad de Cross-Site Scripting almacenado afecta al plugin Testimonial Carousel For Elementor en WordPress, permitiendo a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts web maliciosos en páginas vulnerables.
El plugin Testimonial Carousel For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los parámetros ‘show_line_text’ y ‘slide_button_hover_animation’ en versiones hasta, e incluyendo, la 10.1.1 debido a una insuficiente sanitización de entradas y escape de salidas. Esto permite que los atacantes autenticados, con permisos de contribuidor y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, se recomienda actualizar a la última versión del plugin Testimonial Carousel For Elementor, la 10.1.2 o posterior. Además, se aconseja a los usuarios revisar y sanitizar cuidadosamente cualquier entrada de datos en sus sitios web para evitar este tipo de ataques de inyección de scripts.