En este informe de seguridad se describe una vulnerabilidad en el plugin PowerPack Addons for Elementor para WordPress, que permite a atacantes autenticados con nivel de acceso de contribuidor o superior inyectar scripts web arbitrarios en páginas que serán ejecutados cuando un usuario acceda a una página infectada.
El plugin PowerPack Addons for Elementor, en todas sus versiones hasta la 2.7.15, es vulnerable a una vulnerabilidad de Cross-Site Scripting almacenado a través de la configuración del widget de botones de Twitter debido a la insuficiente sanitización de la entrada y el escapado de la salida. Esto significa que los atacantes autenticados con accesos de contribuidor o superiores pueden inyectar scripts web maliciosos en las páginas, lo que permite la ejecución de código arbitrario cuando los usuarios visitan una página infectada. Para solucionar este problema, se recomienda actualizar el plugin a la última versión disponible (2.7.16 en el momento de escribir este informe). Además, se debe tener precaución al proporcionar a los usuarios privilegios innecesarios y se puede utilizar una solución de firewall de aplicaciones web para detectar y bloquear posibles intentos de explotar esta vulnerabilidad.
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin PowerPack Addons for Elementor puede ser explotada por atacantes autenticados con nivel de acceso de contribuidor o superior para inyectar scripts web maliciosos en páginas, lo que puede llevar a la ejecución de código arbitrario en los navegadores de los usuarios que acceden a estas páginas. Para protegerse, se recomienda actualizar el plugin a la última versión disponible y tener precaución al asignar privilegios a los usuarios. Además, utilizar una solución de firewall de aplicaciones web puede ayudar a detectar y bloquear intentos de explotación de esta vulnerabilidad.