Se ha descubierto una vulnerabilidad de Cross-Site Scripting almacenado en el plugin The Plus Addons for Elementor que podría ser explotada por atacantes autenticados para ejecutar scripts maliciosos en las páginas de un sitio web WordPress.
La vulnerabilidad CVE-2024-4482 afecta a las versiones del plugin The Plus Addons for Elementor hasta la versión 5.6.1. Esta vulnerabilidad se debe a una sanitización insuficiente de la entrada y a la escapada de la salida en el atributo ‘text_days’ suministrado por el usuario en el widget ‘Countdown’. Esto permite a los atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin The Plus Addons for Elementor y estar atentos a futuras actualizaciones de seguridad. Además, se aconseja a los administradores de sitios web validar y filtrar adecuadamente cualquier entrada de usuario para evitar la ejecución de scripts maliciosos.