La vulnerabilidad CVE-2024-2491 permite a atacantes autenticados con nivel Contributor+ inyectar scripts maliciosos en páginas de WordPress a través del atributo *_html_tag* del plugin PowerPack Addons for Elementor.
El plugin PowerPack Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo *_html_tag* de múltiples widgets en todas las versiones hasta la 2.7.17 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite a atacantes autenticados, con acceso a nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin PowerPack Addons for Elementor y revisar constantemente las páginas en busca de contenido malicioso.