La vulnerabilidad CVE-2024-3885 en el plugin Premium Addons for Elementor para WordPress permite a atacantes autenticados realizar ataques de Cross-Site Scripting almacenado.
El plugin Premium Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro de valor de subcontenedor en todas las versiones hasta, e incluyendo, 4.10.28 debido a una sanitización insuficiente de la entrada y la falta de escape de la salida. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Se recomienda a los usuarios actualizar a la última versión del plugin Premium Addons for Elementor tan pronto como sea posible para mitigar el riesgo de explotación de esta vulnerabilidad. Además, es importante tener cuidado al otorgar permisos de contribuidor o superiores en WordPress para evitar posibles ataques de usuarios malintencionados.