La extensión Sina para Elementor (Slider, Galería, Formulario, Modal, Tabla de datos, Pestaña, Partícula, Widgets gratuitos de Elementor y Plantillas de Elementor) para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘read_more_text’ en todas las versiones hasta, e incluyendo, la 3.5.5 debido a una sanitización insuficiente de la entrada y al escape de la salida. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
La vulnerabilidad CVE-2024-5260 permite a los atacantes autenticados aprovechar la funcionalidad del plugin Sina Extension for Elementor para llevar a cabo ataques de Cross-Site Scripting almacenado. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión disponible del plugin (3.5.6) que corrige esta vulnerabilidad. Además, se aconseja a los administradores limitar el acceso de los roles de usuario a las capacidades estrictamente necesarias para reducir la superficie de ataque.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para mitigar el riesgo de explotación de vulnerabilidades conocidas. La colaboración entre los desarrolladores de plugins y los investigadores de seguridad es clave para identificar y corregir rápidamente este tipo de problemas en el ecosistema de WordPress.