El plugin Tutor LMS Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘course_carousel_skin’ dentro del widget Carrusel de Cursos en todas las versiones hasta, e incluyendo, la 2.1.4 debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario.
Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin, en este caso la 2.1.5, que corrige este problema de seguridad. Además, se aconseja a los administradores del sitio web llevar a cabo una revisión de seguridad regular para detectar posibles vulnerabilidades y seguir las prácticas recomendadas de seguridad en WordPress.
Es fundamental mantener actualizados todos los plugins y temas de WordPress instalados en un sitio web, así como seguir buenas prácticas de seguridad como limitar el acceso de los usuarios a roles mínimos necesarios y supervisar regularmente la integridad del sitio en busca de posibles compromisos de seguridad.