La vulnerabilidad CVE-2024-6169 afecta al plugin Unlimited Elements For Elementor para WordPress, permitiendo a atacantes autenticados con nivel de Contributor o superior, inyectar scripts web arbitrarios en las páginas del sitio web.
La vulnerabilidad de Cross-Site Scripting almacenado en Unlimited Elements For Elementor (Free Widgets, Addons, Templates) hasta la versión 1.5.112 se debe a la sanitización insuficiente de la entrada y la falta de escape de la salida del parámetro ‘username’. Esto posibilita a los atacantes autenticados con nivel de Contributor y superior, que tengan permisos de edición de ajustes del plugin otorgados por un administrador, inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Unlimited Elements For Elementor a la última versión disponible, así como restringir los permisos de acceso y edición de ajustes a roles de usuario de confianza. Mantenerse al día con las actualizaciones de seguridad y realizar auditorías regulares en busca de posibles vulnerabilidades también son buenas prácticas para proteger un sitio web WordPress.